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Editorial 
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Digitalisierung first - Bedenken second. Dieser knackige frühere Wahlkampfslogan 
der FDP scheint - so sinnbefreit er sein mag - in Politik und Medien immer populärer 
zu werden. Es geht um den Schutz der Gesundheit angesichts der Coronapandemie, 
um die Effektivierung der Verwaltung, um weniger Bürokratie, immer wieder um Si- 
cherheit. Derzeit wird die Sicherheit für Schwache, wie Alte, Kinder, Kranke und digi- 
tal Unbedarfte, als Argumentationsmuster bevorzugt. Datenschutzbedenken bleiben 
„second“ und fallen dann oft hintunter. Die DANA versucht mit ihren Meldungen und 
dem Abdruck von Pressemitteilungen die vielen Baustellen zu dokumentieren, aufde- 
nen derzeit mehr oder weniger bedenkenfrei digitalisiert wird. 


Als Schwerpunkt dieses Heftes haben wir „Biometrie“ gewählt (dies war zuletzt im Heft 
2/2004 der Schwerpunkt). Der konkrete Anlass, dieses Thema, das praktisch in jeder 
DANA zumindest in den Meldungen vertreten ist, stärker hervorzuheben, war die er- 
folgte Änderung des Personalausweisgesetzes, die uns ab August 2021 zur Abgabe un- 
serer Fingerabdrücke beim Beantragen eines Ausweises verpflichtet. 


Dass dies aber nur ein Baustein eines viel größeren Überwachungstrends ist, das 
zeigt uns die gesetzliche Bestandsaufnahme zum Einsatz von Fingerabdrücken und 
automatisiert auswertbaren Gesichtsbildern insbesondere im Flüchtlingsbereich (Wei- 
chert), die gesellschaftliche Etablierung der Gesichtserkennung (Neumann) sowie der 
sog. Sprachassistenten (Holzgraefe) im Alltag. Der Datenschutz hat immer wieder Ge- 
richte auf seiner Seite, so nun auch das Landesarbeitsgericht Berlin-Brandenburg in 
Sachen Biometrie am Arbeitsplatz. 


Die nächste Ausgabe der DANA, das Heft 2/2021, wird sich schwerpunktmäßig mit 
der Digitalisierung im Bildungsbereich befassen - ein Dauerbrenner in der aktuellen 
Debatte. Das Heft 3/2021 soll sich dem eGovernment widmen, also dem Einsatz von 
Informationstechnik in der Verwaltung. Anregungen aus der DANA-Leserschaft zu 
diesen Schwerpunkten sind willkommen. 
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Gesichtserkennung im Alltag 


Wenn das Gesicht zur Wanze wird 
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Als am 13. Oktober 1970 das erste Da- 
tenschutzgesetz der Welt in Kraft trat - 
es war der Vorläufer des Hessischen Lan- 
desdatenschutzgesetzes - sagte der da- 
malige Ministerpräsident Albert Oswald: 
„Die Orwellsche Vision des allwissen- 
den Staates, der die intimsten Winkel 
menschlicher Lebenssphäre ausforscht, 
wird in unserem Land nicht Wirklich- 
keit werden.”! Da mag man doch gleich 
ein anderes Zitat des Soziologen Dirk 
Baecker gegenüberstellen: „Wir haben 
es mit nichts Geringerem zu tun als mit 
der Vermutung, dass die Einführung des 
Computers für die Gesellschaft ebenso 
dramatische Folgen hat wie zuvor die 
Einführung der Sprache, der Schrift und 
des Buchdrucks.”? 

Heute sehen wir uns mit Entwicklungen 
konfrontiert, mit denen vor 50 Jahren si- 
cherlich nicht zu rechnen war. Wenn wir 
Plätze überqueren, Ladengeschäfte betre- 
ten oder mit öffentlichen Verkehrsmitteln 
fahren, werden wir mehr oder weniger 
intensiv mit Instrumenten zur Überwa- 
chung konfrontiert.’ Eine hochaktuelle 
Entwicklung von besonderer Bedeutung 
dabeiist die Gesichtserkennung, genauer 
die automatische Gesichtserkennung. 


Der erste Rechtfertigungsgrund für 
den Einsatz von Überwachungssoftware 
istin der Regel ein vermuteter oder un- 
terstellter Sicherheitsbedarf. Der Schutz 
der Bevölkerung vor terroristischen An- 
griffen liefert die Rechtfertigung für 
den Einsatz, und mit ihm beginnt die 
Verbreitung. Innenminister Seehofer 
plant rund 100 Bahnhöfe und einige 
Flughäfen mit Kameras zur Gesichtser- 
kennung auszustatten. 


Gesundheit 


Auch das Argument Schutzbedarf im 
Gesundheitswesen wird von der Gesell- 
schaft akzeptiert und für den Einsatz 
herangezogen. Gerade in der jetzigen 
Pandemiezeit zeigen sich die Innovati- 
onsschübe im Bereich der künstlichen 
Intelligenz besonders hoch. In Nach- 
richtensendungen über die Belastung 
italienischer Spitäler konnten an den 
Eingängen Erfassungsgeräte beobach- 
tet werden, die inzwischen auch in 
Deutschland auf dem Markt sind. 

Die etwa handygroßen Geräte werden 
eingerichtet, um die Körpertempera- 
tur der Besucherinnen und Besucher 


zu erfassen und bei ungünstiger Dis- 
position den Zugang zur Klinik oder 
zur Pflegeeinrichtung zu verweigern. 
Allerdings können diese Geräte auch 
bei entsprechender Schaltung bis zu 
22.400 Gesichter oder besser gesagt, die 
extrahierten biometrischen Daten der 
Gesichter, speichern. Die Kapazitäten 
beim Einsatz von Servern vervielfälti- 
gen sich entsprechend. 

Es liegt fast schon auf der Hand, dass 
auch Stadien, Universitäten, Theater, 
Flughäfen und viele andere Einrichtun- 
gen einen solchen Schutz für sich bean- 
spruchen. Und so „diffundieren” diese 
intelligenten Videokameras durch unsere 
Gesellschaft, bis sie wie selbstverständ- 
lich an fast jeder Ecke zu finden sind 
und offensichtlich auch große Teile der 
Gesellschaft nicht mehr stören. An pro- 
minenten Orten können die klassischen 
Videokameras unbemerkt von Passanten 
durch solche mit Gesichtserkennungs- 
software ausgetauscht werden, wodurch 
sie in die Lage versetzt werden, nicht nur 
Verkehrsströme zu beobachten, sondern 
auch die Nummernschilder der Fahrzeu- 
ge sowie die Fahrzeuginsassen zu erfas- 
sen. Im Gespräch ist zum Beispiel, die Er- 
fassungsstellen für Mautgebühren durch 
eine diesbezügliche Videoüberwachung 
zu ergänzen. 


Komfort 


Die Vorteile für die Unternehmen lie- 
gen auf der Hand: Mit Software zur auto- 
matischen Gesichtserkennung können 
Gäste in Hotels sofort mit Namen emp- 
fangen werden. Im Handel können Kun- 
dinnen und Kunden mit ihrem Gesicht 
und einer zusätzlich eingegebenen 
Telefonnummer Rechnungen bedlei- 
chen, und der Schaffner im Zug kann 
Tickets der Reisenden auf Gültigkeit 
hin überprüfen. Die Post rüstet Shops 
mit Gesichtserkennung aus und will da- 
mit personalisierte Werbung auf einem 
Display präsentieren. Die Anwendungs- 
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möglichkeiten scheinen keine Grenzen 
zu kennen. 

Aber auch die Verbraucher genießen 
offensichtlich die mit dieser Form der 
Datenerfassung verbundenen Bequem- 
lichkeiten. Wo früher Besucher einen 
Chip in ihrem Unterarm auslesen lie- 
ßen, um Eintritt in den VIP-Club zu be- 
kommen, reicht heute ein Blick in die 
Kamera am Eingang. Die neuen Mobil- 
funktelefone fast aller Hersteller sind 
per Gesichtserkennung einschaltbar. 

Immer mehr Kraftfahrer verwenden 
umfassende Systeme der Datenerfas- 
sung für ihr Auto, zumal der BGH die 
eigentlich verbotenen Dashcams nun 
doch als Nachweis zur Beweissicherung 
gestattet hat.‘ In diesem Segment tut 
sich der US-amerikanische Hersteller 
Tesla besonders hervor.’ Die Fahrzeuge 
haben bis zu acht Kameras an Bord und 
speichern ein umfassendes Datenmate- 
rial (nicht nur der Kameras). Wo werden 
diese Daten gespeichert? Im Fahrzeug 
beim Halter? In einer Vertragswerkstatt? 
Oder doch beim Hersteller? Die uns hier 
bewegenden Fragen beziehen sich auf 
die grundlegenden Rechte der betrof- 
fenen Personen. Wo zum Beispiel kann 
der Auskunftsanspruch nach Art. 15 
DSGVO geltend gemacht werden? Kor- 
rekte Antworten würden u.a. die zuvor 
gestellten Fragen erübrigen. 

Elon Musk gibt im Interview mit Kon- 
traste an, dass die Datenübermittlung 
vollkommen anonymisiert stattfinde. 
Damit unterlägen die Daten auch nicht 
mehr der DSGVO. Doch wenn die Daten 
im Tesla tatsächlich anonymisiert, also 
definitiv nicht mehr rückführbar sind, 
dann stellt sich die Frage, was der Au- 
tohersteller auf der anderen Seite des 
Atlantiks mit diesen Daten noch vorhat. 

Schauen wir uns doch noch zwei Son- 
derfälle der Anwendung an. Neben der 
kommerziellen Software gibt es inzwi- 
schen auch ein großes Angebot an frei 
verkäuflicher Software zur Gesichtser- 
kennung.® 


Medienprivileg 


Ein Software-Startup beruft sich auf 
das Medienprivileg seiner Kunden als 
Rechtsgrundlage und bietet ihnen 
an, Archive auf Basis der Gesichtser- 
kennung zu erstellen. Fotografen und 
Journalisten können in solchen Archi- 
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ven stöbern, um festzustellen, ob zu 
einem aktuellen Bericht bereits archi- 
vierte Aufnahmen vorhanden sind, auf 
die man evtl. ergänzend zurückgreifen 
könnte.’ 

Das Unternehmen Lapetus Solutions 
hat ein Softwareprodukt entwickelt, das 
Selfies sehr akkurat auswerten kann. 
Kunden wie Versicherungsunterneh- 
men können in Verbindung mit einigen 
Angaben zu einem Versicherungsneh- 
mer dessen Gesundheit feststellen und 
Verträge individuell anpassen. Sogar ein 
künftiger Todeszeitpunkt soll mittels 
dieser Software und weiteren Gesund- 
heitsangaben, die oft mit Fragebogen 
von der betroffenen Person selbst erho- 
ben werden, ermittelt werden können.? 


Identifizierung 


Biometrische Daten sind zur eindeu- 
tigen Identifizierung von Menschen ge- 
eignet, wenn die gemessenen Merkmale 
einmalig sind.’ Diese Merkmale müssen 
aber nicht zwangsläufig weltweit eindeu- 
tig sein. Dies birgt wiederum die Gefahr, 
dass es zu Ähnlichkeiten und somit auch 
zu Verwechslungen kommen kann. 

Bereits in früheren Untersuchungen 
wurde von Diskriminierungen durch 
den Einsatz von biometrischen Verfah- 
ren bei polizeilichen Ermittlungen und 
Strafverfahren berichtet.'° In einer ak- 
tuellen Studie über 189 Algorithmen 
zur Gesichtserkennung bei 99 Organi- 
sationen konnten belastbare Nachweise 
für fehlerhafte Ergebnisse konkret hin- 
sichtlich Alter, Herkunft und Volkszu- 
gehörigkeit herausgearbeitet werden.'! 
Der „Missbrauch“ dieser Technologie 
durch Sicherheitsorgane führte dazu, 
dass in San Francisco Gesichtserken- 
nung als Waffe eingeordnet und verbo- 
ten worden ist. Die drei großen Anbieter 
Amazon, IBM und Microsoft stellen ihre 
Erkennungssoftware für die Polizei in 
den USA nicht mehr zur Verfügung. 


Terrorbekämpfung 


Da nun die Gesichtserkennung immer 
weiter in der Gesellschaft verankert ist, 
wird im nächsten Schritt versucht, mit 
der bekannten Argumentation der Ter- 
rorbekämpfung die Überwachung mit- 
tels Gesichtserkennung zu intensivie- 
ren. Der Berliner Südbahnhof war hier- 


für ein geeignetes Testfeld. In Zeiten der 
Pandemie muss, analog zu den Schutz- 
ansprüchen der Sicherheitsorgane, die 
Software nun auch Gesichter erkennen, 
die sich hinter Masken verbergen. Die 
Produkte dafür sind schon im Markt. 
Maskenträger können mit fast 100-pro- 
zentiger Sicherheit erkannt werden. '? 
Es stellt sich dieFrage, wie dieZukunft 
der künstlichen Intelligenz, speziell mit 
der automatischen Gesichtserkennung, 
aussehen kann. Denkbar wäre zum Bei- 
spiel, dass Gerichtsverhandlungen im 
Rahmen der digitalen Zivilprozessord- 
nung ($ 128 ZPO) geführt werden kön- 
nen und alle Akteure über ihr Gesicht 
eindeutig zu identifizieren sind. Der 
unternehmerischen Phantasie werden 
letztendlich nur durch eine durchset- 
zungsstarke Datenschutzgesetzgebung 
Grenzen gesetzt. Und so bleibt derzeit 
nur auf das Zitat von Dirk Baecker zu 
Beginn dieses Artikels zu verweisen. 
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seite. 
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durch Biometrie, DANA 2/2004, S. 9 ff. 
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12/20/21031255/facial-recognition- 
algorithm-bias-gender-race-age-federal- 
nest-investigation-analysis-amazon 
(Abruf 31.01.21). 
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Susanne Holzgraefe 


Stimm- und Spracherkennung - 
Fluch und Segen der Zukunft 


Fast dreißig Jahre waren vergangen, 
seit meine Freundin Kerstin und ich 
uns aus den Augen verloren hatten. 
Unser altes Gymnasium hatte alle Ehe- 
maligen zu einer Jubiläumsfeier einge- 
laden. In Nostalgie schwelgend gab ich 
die Namen einiger alter Schulfreunde 
in die Suchmaschine ein. Erstaunli- 
cherweise stand meine alte Freundin 
Kerstin im Telefonbuch. Ich zögerte 
nicht, ich nahm das Telefon und rief 
sie an. „Kerstin?“ fragte ich, nachdem 
am anderen Ende eine Frauenstimme 
abnahm. „Susanne!“ rief sie erfreut 
„Was für eine Überraschung.” „Woher 
weißt Du, dass ich das bin?” fragte ich 
erstaunt. „Deine Stimme würde ich im- 
mer und überall erkennen.” Wow! Und 
das nach so langer Zeit. Ich war beein- 
druckt. Aber tatsächlich hatte auch ich 
ihre Stimme sofort erkannt. Ähnlich 
ging es mir mit den Stimmen meiner 
anderen alten Schulkameraden, die 
ich dann auf der Jubiläumsfeier traf. 
Einige von uns haben sich gegenseitig 
tatsächlich nur an der Stimme wieder- 
erkannt und nicht am Aussehen. 

Weitere Situationen zeigen, wie stark 
wir auf eine gegenseitige Identifizie- 
rung anhand der Stimme geprägt sind. 
Ein klassisches Beispiel sind reine Au- 
dio- bzw. Telefonkonferenzen. Nach 
wenigen Worten erkennen sich viele 
Teilnehmenden gegenseitig an der 
Stimme. 

Verwirrung tritt manchmal bei Syn- 
chronsprechern ein, die ihre Stimme 
mehreren Schauspielern geben. Ich 
höre im Nebenzimmer, dass mein Mann 
im Wohnzimmer einen Film schaut. 
Anhand der Stimmen, die ich erkenne, 
wundere ich mich, dass er diesen Film 
schaut. Doch als ich die Bilder sehe, 
stelle ich fest, es ist ein ganz anderer 
Film mit ganz anderen Schauspielern; 
eine oder mehrere Schauspieler sind le- 
diglich von denselben Stimmen wie im 
von mir vermuteten Film synchronisiert 
worden. 


Neben menschlichen Stimmen kön- 
nen wir durchaus auch die Stimmen 
von einzelnen Tieren unterscheiden. So 
hat jede Katze ihre eigene, individuelle 
Stimme. 

Eine Erklärung, warum viele Men- 
schen gut darin sind, andere Menschen 
an der Stimme zu erkennen, mag dar- 
in liegen, dass anhand der Stimme oft 
selbst Freunde von Feinden unterschie- 
den werden. 


Ist die Stimme eines jeden Menschen 
einzigartig? 


Sind Ihnen schon mal zwei Menschen 
begegnet, deren Stimmen sich exakt 
identisch anhörten? Kennen Sie jeman- 
den, dem schon mal zwei Menschen mit 
identischer Stimme begegnet sind? Ob- 
wohl ich jährlich viele Menschen neu 
kennenlerne, sind mir tatsächlich noch 
nie zwei Menschen begegnet, deren 
Stimmen ich verwechseln könnte. 

Wenn mir Personen erzählt haben, 
dass sie Menschen anhand der Stimme 
verwechselt haben, war dies zumeist im 
Zusammenhang mit der Tatsache, dass 
sie auf einen Parodisten reingefallen 
sind, der Stimmen berühmter Persön- 
lichkeiten nachahmte. Geübte Ohren 
hören aber sofort den Unterschied. 
Selbst wenn das menschliche Ohr ver- 
sagt, so zeigen Messgeräte durchaus 
Unterschiede. 

Aber, nur weil mir und vielleicht Ih- 
nen noch nie zwei Menschen begegnet 
sind, die eine identische Stimme hat- 
ten, ist dasnoch lange kein Beweis, dass 
die Stimme eines Menschen so eindeu- 
tig ist, dass sich dadurch jeder Mensch 
eindeutig identifizieren lässt. Immerhin 
lassen sich in der Judikative und Exeku- 
tive Fälle finden, bei denen Sprach- und 
Stimmerkennung als Beweismittel zu- 
gelassen wurden. 

Jeder Mensch hat eine eigene Art zu 
sprechen. Menschen reden verschieden 
schnell, haben eine höhere oder tiefere 


Stimme. Auch beim Dialekt und der Wort- 
wahl hört man Unterschiede. Außerdem 
hat jeder kleinere oder größere Sprach- 
fehler. Die Kombination dieser Eigen- 
schaften macht einen Sprecher fast un- 
verwechselbar. Deshalb dient die Stimme 
in Kriminalfällen auch als Beweismittel 
für die Identität eines Täters (Stuttgarter 
Zeitung v. 17.12.2015).' 


Die menschliche Stimme und die 
Technik 


Bevor Alexander Graham Bell das Te- 
lefon erfand, forschte er zum Thema 
menschliche Stimme. Darüber hinaus 
war es Bell, der Schallübertragung in 
einem Lichtstrahl erfand,? was wohl die 
Grundidee für die heutige Kommunika- 
tionsübertragung mit Hilfe von Lichtfa- 
serkabeln lieferte. 

Das Übertragen möglichst nur des 
Frequenzbereichs der menschliche 
Stimme und keiner weiteren Geräusche, 
wie Wind, Autobahnlärm oder anderer 
Nebengeräusche, das beschäftigt Tele- 
fonie, Radio sowie Film- und Fernsehen 
schon seit langer Zeit; die Audiotechnik 
wird in diesem Bereich immer weiter 
perfektioniert. 

Darüber hinaus findet für verschie- 
denste Zwecke eine stetige Weiterent- 
wicklung von Filtern statt, die eine 
Stimme bzw. eine aufgezeichnete Stim- 
me so aufbereiten, dass sie, selbst wenn 
sie verzerrt oder technisch verändert 
wurde, sich am Ende doch einer einzel- 
nen Person zuordnen lässt. 

Nicht nur Polizei und Staatsanwalt- 
schaft haben hieran ein großes Inter- 
esse, sondern auch Unternehmen, die 
Stimm- und Sprachsteuerungen für ihre 
Geräte anbieten. Die bekanntesten sind 
wohl Apple und Google, die es ermögli- 
chen, dass ihre Smartphones und ande- 
re Geräte per Spracheingabe gesteuert 
werden. Durch anfängliche Konfigura- 
tion erkennen die Geräte mittlerweile 
schon ziemlich genau, ob ein zugelas- 
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sener Nutzer einen Steuerbefehl spricht 
oder jemand anderes. 

Alexa (Amazon) erkennt, welches Fa- 
milienmitglied den Befehl gesprochen 
hat und bietet dem Familienmitglied 
dann ein auf dieses personalisiertes 
abgestimmtes Programm an. Zum Bei- 
spiel werden dem einen Kind, das zwei 
Piratenhörbücher gehört hat, weite- 
re Hörbücher mit Piratengeschichten 
angeboten und dem anderen Kind De- 
tektivgeschichten, da die eingebaute 
künstliche Intelligenz aus dem gest- 
rigen Hören der Drei Fragezeichen ge- 
schlossen hat, dass das Kind auf Detek- 
tivgeschichten steht. 

Auch Siri (Apple) und Google Home 
erkennen anhand der Sprache, ob es 
sich um einen vorher konfigurierten 
und damit legitimierten Benutzer han- 
delt; wenn nicht, werden die Sprachbe- 
fehle ignoriert. 

Sprach- und Stimmerkennung als Zu- 
gangsmittel sind heutzutage bereits an 
vielen Stellen gang und gäbe. Die Au- 
tomobilindustrie arbeitet an Entwick- 
lungen, mit denen sich zukünftig Au- 
tos per Spracheingabe steuern lassen. 
Das gesprochene „Sesam öffne Dich” 
und die Tür öffnet sich ist längst kei- 
ne Zukunftsmusik mehr. Hierbei öffnet 
sich die Tür nicht, weil Sie das richtige 
Codewort gesagt haben, sondern vor 
allem, weil die Technik in der Tür Sie 
anhand Ihrer Stimme, Ihrem Dialekt 
und ein paar anderen Merkmalen, die 
die Technik aus den drei gesprochenen 
Worten entnehmen konnte, als Ali Baba 
erkannt hat. 

Die Technik macht weitere Fortschrit- 
te. Fehlerarme Identifizierung einzelner 
Personen „on air” ist heutzutage z.B. 
auch mit Hilfe von Geruchssensoren 
möglich. 


Ist die menschliche Stimme hackbar? 


Ein chinesisches Sprichwort sagt: 
„Wer einen Schatz hat, sollte mit Die- 
ben rechnen.” Wenn wir über Sprach- 
und Stimmerkennung reden, reden wir 
über Sender und Empfänger. Der Sen- 
der ist der Sprechende und der Emp- 
fänger ist das Ohr oder eine technische 
Einrichtung, die anhand von Messtech- 
nik und künstlicher Intelligenz versu- 
chen den Sprechenden eindeutig zu 
identifizieren. 
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Mit Sprachtechnik lässt sich die Au- 
diotechnik überlisten. Eine mensch- 
liche Stimme kann heute auf techni- 
schem Wege so imitiert werden, dass 
damit Sprach- und Stimmerkennungs- 
sensoren überlistet werden. Ein Hacker 
könnte damit die Stimme eines berech- 
tigten Benutzers technisch nachstellen, 
um dessen Smartphone oder dessen Ale- 
xa zu steuern oder den Zugang zu ver- 
traulichen Räumlichkeiten zu erschlei- 
chen. Frei nach dem Motto: Kaum ist 
die Technik auf dem Markt, ist sie auch 
schon nicht mehr sicher. 

In neuster Technik wird, wie oben dar- 
gestellt, Sprach- und Stimmerkennung 
mit Geruchssensorik kombiniert, um so 
Hackern den Weg doch zu versperren. 


Rechtliche Grundlagen zur menschli- 
chen Stimme 


Stimmaufzeichnungen, die zur Iden- 
tifizierung genutzt werden können, 
zählen als biometrische Daten zu den 
besonderen Kategorien personenbezo- 
generDaten der Datenschutz-Grundver- 
ordnung (DSGVO).’ Das bedeutet, dass 
eine Verarbeitung generell untersagt 
ist, esseidenn, esliegteinederin Art. 9 
Abs. 2 DSGVO aufgeführten Ausnahmen 
vor. 

Ergänzend ist anzumerken, dass die 
DSGVO und das Bundesdatenschutzge- 
setz (BDSG) keine Anwendung finden, 
wenn die Daten durch natürliche Per- 
sonen zur Ausübung ausschließlich 
persönlicher oder familiärer Tätigkeiten 
verarbeitet werden.‘ Klassische Beispie- 
le hierfür sind Türsprechanlagen und 
Babyphones, die über keinerlei Spei- 
cherung verfügen. 

Lange vor der DSGVO erkannte die 
deutsche Gesetzgebung, dass die Be- 
völkerung vor Audioüberwachung ge- 
schützt werden sollte. Der Einsatz von 
Wanzen und anderen Abhörgeräten zur 
Bespitzelung ist verboten. & 201 Straf- 
gesetzbuch (StGB) befasst sich mit der 
Verletzung des vertraulich gesproche- 
nen Wortes. 


Videoüberwachung ja, 
Audioüberwachung nein? 


Videoüberwachung ist im Daten- 
schutz ein häufig diskutiertes Thema. 
Was aber ist mit Audioüberwachung? 


Schon kostengünstige Webcams haben 
in der Regel eingebaute Mikrofone, mit 
denen sich gesprochene Worte prob- 
lemlos aufzeichnen lassen. Derarti- 
ge Webcams kommen zum Beispiel an 
Tankstellen für Überwachungszwecke 
zum Einsatz. Ist ein erstellter Audiomit- 
schnitt zulässig und darf ein solcher zur 
Ermittlung des Straftäters verwendet 
und vor Gericht verwertet werden? Dem 
Aufzeichnenden könnte ein Audiomit- 
schnitt sehr schnell gegenüber Richtern 
oder gegnerischen Anwälten zum Ver- 
hängnis werden, wenn 8 201 StGB ver- 
letzt wurde. Ist eine Videoüberwachung 
zulässig, so ist eine Audioüberwachung 
nicht automatisch auch zulässig. Es ist 
ratsam, darauf zu achten, dass die Ka- 
meras keine Mikrofone haben und gene- 
rell, dass keine Mikrofone lauschen. 


Audioüberwachung durch Alexa oder 
Siri 


Alexa und andere vergleichbare Ge- 
räte lauschen durchgehend, um per 
Sprache aktiviert werden zu können. 
Sprach- und Stimmerkennungs-Intelli- 
genz sorgt dafür, dass sie, selbst wenn 
mehrere Menschen durcheinander spre- 
chen, die Befehle ihrer legitimierten 
Benutzer erkennen und die anderen 
ignorieren. Ignorieren sie aber wirklich 
alle anderen? Werden die gesprochenen 
Worte an den Hersteller gesendet und 
ausgewertet? 

Apple versichert, dass die Auswer- 
tung der Daten, die Hey Siri beim Lau- 
schen aufgreift, ausschließlich lokal 
verarbeitet werden. Die Lauschauf- 
nahmen würden kontinuierlich über- 
schrieben. Und in keinem Fall nähmen 
die Geräte Gespräche auf und sendeten 
diese an das Unternehmen, bevor Siri 
in Aktion tritt.’ 

Alexa hingegen schickt die Sprach- 
kommandos zur Auswertung an die 
Amazon Cloud und speichert sie dort.° 
Wenn Alexa ein Sprachkommando er- 
kennt, schickt es das an die Cloud. 
Was ist aber mit allen anderen Wortfet- 
zen, die es beim Lauschen aufgreift? 
netzpolitik.org schreibt hierzu: 

Der Smart Speaker lauscht im Hinter- 
grund auf alle Gespräche. Glaubt man 
Amazon, werden nur Ausschnitte, die die 
Software als Befehl erkennt, an die Server 
des Unternehmens weitergeleitet.’ 


Der Artikel von netzpolitik.org macht 
deutlich, wie schnell Amazons Alexa 
zu dem Schluss kommen kann, es habe 
ein Sprachkommando gehört. Gemäß 
meinen eigenen Erfahrungen ist auch 
Apples Siri nicht perfekt, wenn es mich 
völlig unerwartet anspricht: „Ich habe 
Dich nicht richtig verstanden.” Was 
bzw. welche Worte genau Siri getriggert 
haben zu reagieren bleibt häufig unklar. 
Dass die Technik hier noch in den Kin- 
derschuhen steckt, wird in solchen Mo- 
menten sichtbar. 

Datenschutzrechtlich stellen sich ei- 
nige interessante Fragen: 


Greifen DSGVO und BDSG überhaupt 
und wer ist verantwortlich? 


DSGVO und BDSG sind nicht anwend- 
bar, wenn natürliche Personen die Da- 
ten ausschließlich zur Ausübung per- 
sönlicher oder familiärer Tätigkeiten 
verarbeiten. Relevant ist also zunächst, 
ob der Betreiber des Gerätes eine natür- 
liche Person ist. Wird Alexa zum Beispiel 
im Kindergarten, in einem Unterneh- 
men oder in einer Behörde eingesetzt, 
so ist der Betreiber keine natürliche Per- 
son. Sowohl DSGVO als auch BDSG und 
ggf. auch die Datenschutzbestimmun- 
gen der Länder finden Anwendung. Die 
vollumfängliche Verantwortung liegt 
beim jeweiligen Betreiber. 


Wie aber ist das bei privaten Haushal- 
ten? 


Besteht ein Haushalt lediglich aus 
einer einzelnen Person, so ist der Be- 
treiber eine natürliche Person. Aus- 
schlaggebend ist dann, ob die Daten 
ausschließlich zur Ausübung persönli- 
cher und familiärer Tätigkeiten verar- 
beitet werden. Fällt darunter auch die 
Verarbeitung, wenn mehrere Personen 
zusammen wohnen? Ob das Daten- 
schutzrecht vollumfänglich Anwendung 
findet, hängt im Zweifel stark vom Ein- 
zelfall und dessen richterlicher Bewer- 
tung ab. Ob eine einzelne Person der Ge- 
meinschaft bzw. Familie vollumfänglich 
verantwortlich ist oder alle Mitglieder 
der Familie bzw. der Gemeinschaft ge- 
meinsam verantwortlich sind, ist von 
der Familie bzw. der Gemeinschaft und 
deren internen Strukturen und Abspra- 
chen abhängig. 


Werden die Daten denn ausschließlich 
zur Ausübung von persönlichen und fa- 
miliären Tätigkeiten verarbeitet? Auch 
insofern besteht ein richterlicher Be- 
urteilungsspielraum je nach Einzelfall. 
Wie schon erwähnt, ist es bei Türsprech- 
anlagen oder Babyphonen, bei denen 
keine Daten gespeichert und die Daten 
auch sonst nicht aufgezeichnet werden, 
offensichtlich, dass die Informationen 
nur für den persönlichen und familiären 
Zweck verwendet werden. 

Fraglich ist es jedoch bei Geräten, 
die Audioaufzeichnungen erstellen. 
Wo werden die Daten gespeichert? Ale- 
xa und Siri speichern die Worte, die 
sie beim Lauschen aufgreifen. Die Her- 
steller beider Systeme beteuern, dass 
sie die beim Lauschen aufgegriffenen 
Worte zur Ermittlung, ob es sich um ein 
legitimiertes Kommando handelt, ledig- 
lich lokal auf dem Gerät zur Auswertung 
speichern. Apple versichert darüber hi- 
naus sogar, die Daten lokal kontinuier- 
lich unverzüglich zu überschreiben. 

Ältere Geräte bzw. Geräte, die keine 
neueren Software-Updates installiert ha- 
ben, können Sprach- und Stimmerken- 
nung eventuell noch gar nicht personali- 
siert auswerten. Egal wer „Hey Siri” oder 
„Alexa“ ruft, kann damit ein Kommando 
auslösen. Neuere Geräte bzw. Software 
reagiert nur noch, wenn „Hey Siri” bzw. 
„Alexa“ von einer vorher konfigurierten, 
bestimmten Person gerufen wird. Bei 
Alexa kann für jedes Familienmitglied 
ein eigenes Profil angelegt werden. Beide 
Konzerne entwickeln ihre Technik stetig 
weiter. Es soll vermieden werden, dass 
z.B. die Apple-Geräte aller Bahnreisen- 
den mit einer Musikwiedergabe begin- 
nen, wenn ein Fahrgast ruft: „Hey Siri, 
spiele Helene Fischer.” 

Mit personalisierten Zugängen lassen 
sich natürlich auch Inhalte besser zu- 
ordnen und damit kontrollieren. Kinder 
könnten nur für altersgerechte Filme 
freigeschaltet werden. Was die individu- 
elle Profilbildung der einzelnen Benut- 
zer angeht, ist Alexa sehr bestrebt. 

Wäre die Technik bereits so weit, dass 
die Kommando-Erkennung perfekt 
personalisiert funktioniert, wäre eine 
Auswertung zu rein persönlichen und 
familiären Tätigkeiten auf den ersten 
Blick erkennbar. Bis es aber soweit ist, 
müssen Apple oder Amazon noch an der 
Technik feilen. So schreibt heise online: 


Die Spracherkennung von Alexa lernt 
durch Interaktion mit dem Nutzer ständig 
dazu und erkennt dessen Stimme schritt- 
weise immer besser.° 

Auch Siri ordnet immer mal wieder 
Kommandos durch gesprochene Worte 
falsch zu. 

Das bedeutet, dass sowohl Alexa als 
auch Siri immer mal wieder Daten Drit- 
ter verarbeiten. Die Server, auf denen 
die Verarbeitung letztendlich erfolgt, 
können hierbei auf der gesamten Welt 
stehen. Diese Verarbeitung durch App- 
le oder Amazon erfolgt nicht „zur Aus- 
übung ausschließlich persönlicher und 
familiärer Tätigkeiten”. Die Verarbeitung 
dürfte regelmäßig in Drittländern ohne 
angemessenen Datenschutz erfolgen. 


Welche Maßnahmen sollten ergriffen 
werden? 


Kindergärten, Unternehmen, Behör- 
den und andere juristische Personen 
sollten in ihren Organisationen vorerst 
den Einsatz von Alexa und Siri ver- 
meiden; zumindest bis die Stimm- und 
Spracherkennung zuverlässiger und 
fehlerfreier funktioniert. Hinzu kom- 
men zu berücksichtigende Aspekte aus 
dem Arbeitsschutz und dem Beschäftig- 
tendatenschutz. Transparenzpflichten 
gemäß der DSGVO sind einzuhalten. Die 
Prozesse sind im Verzeichnis der Verar- 
beitungstätigkeiten aufzunehmen. 

Werden Amazons Alexa oder Apples 
Siri in privaten Haushalten betrieben, 
so sollten Besucher in jedem Fall beim 
Betreten des Haushaltes auf die Exis- 
tenz der Geräte aufmerksam gemacht 
werden, so dass sie die Möglichkeit 
haben, frei zu entscheiden, ob sie den 
Haushalt betreten möchten oder nicht. 
Das gilt auch für Handwerker, Pflege- 
dienstmitarbeitende, Beschäftigte vom 
Jugendamt und viele weitere. Die an- 
dere Möglichkeit ist die Geräte während 
der gesamten Dauer des Besuchs zu de- 
aktivieren. 

Handwerker, Pflegedienste usw. kön- 
nen bei der Auftragsvergabe schriftlich 
die Deaktivierung derartiger Geräte für 
die Dauer der Ausführung vertraglich 
verabreden. Das legt der Beschäftigten- 
datenschutz nahe. 

Die Ansage, „Zu Dir komme ich nicht, 
wenn Du Deine Alexa nicht abstellst.” 
gegenüber Alexa-Nutzern hat noch eine 
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ganze Weile im Familien-, Freundes- 
und Bekanntenkreis eine Berechtigung. 


Stimmerkennung in Smartphones, 
Tablets, Laptops und Autos 


Apples Siri ist auf allen Apple-Geräten 
installiert. „Hey Google” und auch die 
Sprachsteuerung in Autos funktionie- 
ren entsprechend. Egal, auf welchem 
Smartphone, Tablet oder Laptop, die 
Sprachassistenten lauschen genauso 
wie bei Alexa - mit den gleichen Fall- 
stricken. In Autos sind immer häufiger 
sprachgesteuerte Assistenten einge- 
baut, die entweder auf Apple-, Goog- 
le- oder Amazon-Technik beruhen oder 
ihnen ähnlich sind. 

Die eigene Erfahrung zeigt, dass Siri 
gerne mal im Meeting, am Kaffeetisch 
mit der Familie oder auch bei der Fahrt 
mit mehreren Personen im Auto an- 
springt. „Hey! Stell das sofort ab!” ist 
dann häufig die angesäuerte Reaktion 
von anderen. Siri lässt sich auf allen 
Apple-Geräten in den Einstellungen 
schnell und einfach deaktivieren. Uh- 
ren und Smartphones können in vielen 
Situationen komplett ausgeschaltet 
werden, doch werden gerade in berufli- 
chen Meetings Tablets oder Laptops oft 
benötigt. 

Im beruflichen Umfeld ist es deshalb 
ratsam die Spracherkennung zu deakti- 
vieren. Es ist nicht sichergestellt, dass 
nicht versehentlich personenbezogene 
Informationen oder auch Geschäfts- 
geheimnisse an Server in Drittländern 
und an die Hersteller übermittelt wer- 
den. 

Auch im öffentlichen Bereich, in Bah- 
nen, Bussen, Restaurants usw., könnten 
die Geräte Sprachfetzen Anderer auf- 
greifen, als Kommando erkennen undan 
die Server der Hersteller weiterleiten. Im 
Grunde genügtesnicht die anderen Pas- 
sagiere und Gäste darauf aufmerksam zu 
machen, dass eine Sprachassistenz akti- 
viert ist; vonihnen kann natürlich nicht 
verlangt werden die Bahn, den Bus, das 
Restaurant, das Konzert oder das Muse- 
um unverzüglich zu verlassen, wenn sie 
mit dem Audioscan nicht einverstanden 
sind. Im privaten Bereich bleibt zumeist 
die Diskussion mit der Familie, Freun- 
den und Bekannten möglich, wenn bei 
gegenseitigen Besuchen Geräte lau- 
schen: „Mach bitte Handy und Uhr aus, 
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bevor Du rein kommst.” 

In Autos sind Mitfahrende betroffen. 
Ob ein Sprachassistent deaktivierbar 
ist, hängt vom Hersteller ab. Es bleibt 
die Frage, wer verantwortlich ist: Ist es 
der Fahrer oder der Halter? Bei Firmen- 
wagen, die auch privat genutzt werden 
dürfen, ist das ein spannendes Thema, 
das zu diskutieren hier den Rahmen 
sprengen würde. 


Stimmerkennung in Spielzeug 


Die Puppe, der das Kind seine Sorgen 
anvertraut, die dann über die Server des 
Herstellers ausgewertet werden, ist kei- 
ne Zukunftsmusik, sondern Realität.? 
Digitalcourage hat deshalb bereits im 
Jahr 2015 einen Big Brother Award an 
die Firma Mattel für ihre „Hello Barbie”- 
Puppe verliehen. '° 

Spielzeuge, mit dem Kinder regelmä- 
ßig abgehört werden und von dem die 
Daten nicht nur an die Hersteller des 
Spielzeugs geschickt werden, sondern 
auch an die Eltern der Kinder, erobern 
immer mehr die Kinderzimmer. So wer- 
den Kinder von klein auf an Überwa- 
chung gewöhnt. Die Sprachassistenten 
werden immer weiter darauf trainiert, 
Stimme und Sprache besser zu indivi- 
dualisieren. Dass darüber hinaus in- 
dividuelle Profile erstellt werden, die 
dann für Marketing gegenüber den 
Kindern und andere Zwecke genutzt 
werden, lässt sich nicht ausschließen. 


Fazit 


Sprach- und Stimmerkennung nimmt 
in der heutigen Welt immer mehr Raum 
ein. Zur Identifizierung einer Person 
werden häufig nicht nur die Stimmmerk- 
male ausgewertet, sondern auch Dialekt 
und weitere Sprach- und Sprecheigen- 
schaften der jeweiligen Person. Damit 
können nicht nur menschliche Ohren 
überlistet werden, wie Stimmimitato- 
ren in Parodien gerne zeigen, sondern 
durch Einsatz technischer Mittel auch 
die lauschende Technik. Deshalb wer- 
den Systeme zur Identifizierung heut- 
zutage durch Geruchssensoren ergänzt. 
Die automatisierte, technische Sprach- 
und Stimmerkennung als Authentifizie- 
rungsmittel steckt noch in den Kinder- 
schuhen. Fehler sind zu häufig, um sie 
als zuverlässig und sicher bezeichnen 


zu können. 

Sprach- und Stimmerkennung ist 
zwar schon vielseitig im Einsatz. Mit den 
damit erlangten Daten wird Forschung 
betrieben, um die Auswertung und 
Mustererkennung zu verbessern. Damit 
einher geht der wenig beruhigende Um- 
stand, dass Daten von einem selbst wie 
von Dritten an Hersteller und Server in 
Drittländern zur Auswertung weiterge- 
geben werden. 

Datenschutzrechtlich bleibt das The- 
ma spannend. In Deutschland ist die 
Wahrung der Vertraulichkeit des ge- 
sprochenen Wortes auch Gegenstand 
strafrechtlicher Regulierung; Audio- 
überwachung kann als Straftat verfolgt 
werden. Die Anwendung dieser Rege- 
lung ist nicht weniger spannend. 
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Thilo Weichert 


Systeme biometrischer Identifizierung 


Der Siegeszug automatisiert erkannter Fingerabdrücke und Gesichtsbilder 


Beim Morphen von zwei Bildern werden an jeweils gleichen Körperstellen positionierte Referenzpunkte automatisiert in beliebig einstellbaren Intervallen zu- 
einander verschoben. Diese Technik, die ursprünglich in der Filmindustrie zur Erzielung von Spezialeffekten eingesetzt wurde, war ein beliebtes Instrument 
zur missbräuchlichen Verwendung eines Bildes für Ausweisdokumente von zwei Personen. Bilder: Frans Valenta unter Verwendung von AdobeStock-Material 


Am 11.12.2020 wurde das „Gesetz 
zur Stärkung der Sicherheit im Pass-, 
Ausweis- und ausländerrechtlichen 
Dokumentenwesen” im Bundesge- 
setzblatt veröffentlicht.' Das Gesetz soll 
die Verfügbarkeit und Zuverlässigkeit 
staatlicher Identifizierungsmittel durch 
eine Bereitstellung von authentischen 
Gesichtsbildern und Fingerabdrücken 
verbessern. Dem dient die Verhinde- 
rung des sog. „Morphing”, also des 
Verfälschens von Gesichtsbildern zum 
Zweck der Identitätstäuschung, und 
die Bereitstellung von automatisiert 
abgleichbaren Lichtbildern. Dem dient 
außerdem die verpflichtende Aufnah- 
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me der Fingerabdrücke der Zeigefinger 
in Personaldokumente, insbesondere 
in Personalausweise, so wie dies zuvor 
schon für Reisepässe vorgesehen wor- 
den ist. Die Regelung des & 5 Abs. 9 
S. 1 PAuswG, die zum Fingerabdruck 
auf dem Ausweis verpflichtet, tritt am 
02.08.2021 in Kraft. 

Dieses Gesetz ist Anlass, den staat- 
lichen Einsatz biometrischer Identi- 
fizierungsverfahren darzustellen und 
aus Datenschutzsicht zu hinterfragen. 
Fingerabdrücke und Gesichtsbilder 
sind die Vorreiter biometrischer Iden- 
tifizierungsmerkmale, mit denen die 
analoge Welt mit der digitalen Welt ver- 


knüpfbar wird und Menschen aus dem 
Schutz der Anonymität in der Menge 
herausgezogen werden. 


1 Funktionen in der Geschichte 


Lange Zeit war in Deutschland die 
biometrische Identifizierung mit Hil- 
fe technischer Mittel in Verwaltungs- 
verfahren verpönt und wurde als eine 
Maßnahme angesehen, die der Straf- 
verfolgung zwecks Zuordnung von Tat- 
ortspuren und zur Überführung von 
Straftätern vorbehalten ist. 

Ein historischer Hintergrund für die 
deutsche Skepsis bei der Nutzung sol- 
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cher Identifizierungsmethoden liegt in 
deren Verwendung im Nationalsozialis- 
mus wie auch in der DDR zur Kontrolle 
und Unterdrückung der Menschen. Dass 
eine Eignung der Methode für Kontroll- 
und Unterdrückungszwecke heute 
weiterhin - verstärkt - besteht, zeigt 
deren Einsatz in autoritären Staaten wie 
z.B. in China, wo die biometrische Iden- 
tifizierung als ein zentraler Bestandteil 
eines totalitären staatlichen Kontroll- 
apparats eingesetzt wird (s.u. 5). 

In der Bundesrepublik Deutsch- 
land wurde es für den identifizierenden 
Lichtbilderabgleich lange Zeit als aus- 
reichend angesehen, dass ein Beamter 
das Gesichtsbild aus einem Ausweisdo- 
kument oder einer Datenbank mit dem 
Gesicht des sich Ausweisenden per Au- 
genschein verglich. Von dieser Sicht- 
weise ging man zunächst im Auslän- 
derrecht ab. Die biometrischen Verfah- 
ren wurden dann aber bei immer mehr 
staatlichen Prozessen eingeführt und 
betreffen immer mehr Menschen und 
auch solche mit einer deutschen oder 
einer EU-Staatsangehörigkeit. 

Der Prozess der Ausweitung des Ein- 
satzes biometrischer Identifizierung 
hat verschiedene Gründe. Treibender 
Faktor ist zweifellos der technische 
Fortschritt, mit dem die biometrisch- 
technische Identifizierung immer 
einfacher und zuverlässiger wurde. 
Die Akzeptanz der Methode wurde zu- 
dem dadurch erhöht, dass sie auch von 
privaten Anbietern genutzt wird, im 
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Erfassung von Fingerabdrücken zur Strafverfolgung 
Bild: iStock.com/TheCrimsonRibbon 


Arbeits- und insbesondere im Konsum- 
bereich. Der Komfortgewinn durch die 
Nutzung des Fingerabdrucks oder ei- 
nes Gesichtsscans bei der betrieblichen 
Eingangskontrolle, dem Freischalten 
eines Smartphones oder dem digitalen 
Bezahlen geht mit einem Gewöhnungs- 
effekt einher, von dem auch der staat- 
liche Einsatz „profitiert“. 

Hinzu kommen europäische und 
weltweite Entwicklungen: Der globale 
Personenverkehr ist auf eine eindeutige 
Identifizierung der mobilen Menschen 
angewiesen. So legte z.B. die Interna- 
tionale Zivilluftfahrtorganisation (In- 
ternational Civil Aviation Organization - 
ICAO) das Lichtbild, den Fingerabdruck 
und Irismerkmale auf maschinenlesba- 
ren Reisedokumenten als einheitlichen 
Identifizierungsstandard fest. 

Die Notwendigkeit einer europäi- 
schen Harmonisierung und Standar- 
disierung ergab sich mit der Entwick- 
lung des europäischen Binnenmarkts 
und der EU-weiten Freizügigkeit für 
EU-Bürger, was einheitliche Identi- 
fizierungsstandards nahelegt. Sog. 
Drittausländer, also Nicht-EU-Bürger, 
bei denen sich nicht zwingend auf die 
staatlich ausgestellten Identitätsdoku- 
mente verlassen werden kann, werden 
über Biometrie identifiziert. Fehlen 
Identitätsdokumente oder scheinen sie 
gefälscht, so wie dies bei seit den 90er 
Jahren verstärkt einreisenden Migran- 
ten immer wieder der Fall ist, so sind 
biometrische Merkmale der einzige Weg 


für eine sichere Personenzuordnung 
und Identifizierung. 

Werden biometrische Daten zu Zu- 
gangs- oder Zutrittszwecken gespei- 
chert, so sind diese ein potenzielles Ziel 
für Hacker, die diese für unberechtigte 
Authentifizierungen nutzen wollen. 
Ihre sichere Speicherung ist wesent- 
lich, um Datenmissbrauch zu verhin- 
dern. Welche Risiken entstehen können 
zeigte sich, als 2019 bekannt wurde, 
dass die Biometriedatenbank „Biostar 
2" (Gesichtsbilder und Fingerabdrücke) 
der südkoreanischen IT-Firma Suprema 
mit 27,8 Mio. Einträgen über das Inter- 
net ohne größeren Aufwand zugänglich 
war. 


2 Gesichtsbilder 


Für die rein analoge Zuordnung 
durch einen Menschen finden Gesichts- 
bilder seit Jahrzehnten selbstverständ- 
lichen Einsatz auf Ausweisen und Be- 
rechtigungsscheinen im privaten wie im 
öffentlichen Bereich. So ist es üblich, 
auf Betriebsausweisen ein Lichtbild 
aufzunehmen. Die elektronische Ge- 
sundheitskarte zum Nachweis der Be- 
rechtigung für Leistungen der gesetzli- 
chen Krankenversicherung enthält ein 
Lichtbild (8 291 Abs. 2 SGB V). Entspre- 
chendes gilt z.B. für die Fahrerlaubnis 
für Kraftfahrzeuge - den Führerschein 
(82 Abs. 15.1 StVG). 

Die datenschutzrechtliche Proble- 
matik der Verarbeitung von Gesichts- 
bildern, die per Foto- oder Videografie 
erfasst werden, besteht darin, dass die- 
se jederzeit ohne Beteiligung der Be- 
troffenen aus der Ferne erstellt werden 
können und dass diese oft mit einer Zu- 
ordnungsmöglichkeit zu weiteren Iden- 
tifizierungsdaten (Name, Adresse, Er- 
reichbarkeitsdaten, sonstige Angaben 
und Merkmale) im Internet verfügbar 
sind. Diese Eigenschaft haben Gesichts- 
bilder mit anderen biometrischen Iden- 
tifizierungsmethoden gemein, bei de- 
nen aus der Ferne bzw. im öffentlichen 
Raum eine Zuordnung über Mikrofone 
oder Videokameras möglich ist (Spre- 
chererkennung, Gangzuordnung, s.u. 
4). Solche Informationen werden nicht 
selten von Dritten mit einer eindeutigen 
Zuordnung öffentlich zugänglich ge- 
macht, etwa im Internet. Oder die Be- 
troffenen veröffentlichen die Informati- 
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onen selbst, ohne sich dessen bewusst 
zu sein, dass ihre Veröffentlichung ein 
Schlüssel dafür ist, sie auch in anderen 
Kontexten zu identifizieren. 

Gesichtsbilder finden sich mit weite- 
ren identifizierenden Angaben und At- 
tributen in großem Umfang allgemein 
zugänglich im Internet. So hat z.B. die 
in den USA ansässige Firma Clearview 
AI aus dem Internet verfügbare Infor- 
mationen zum Aufbau einer weltweiten 
Gesichtsbilddatenbank mit angeblich 
3 Mrd. Bildern erfasst, die sowohl pri- 
vaten als auch öffentlichen Stellen zur 
Nutzung zur Verfügung gestellt wird. 
Ein vergleichbares Angebot mit 900 
Mio. biometrisch analysierten Gesich- 
tern wird als öffentlich nutzbare Such- 
maschine von dem polnischen Unter- 
nehmen PimEyes betrieben. Facebook 
praktiziert seit 2010 automatisierte 
Gesichtserkennung. Diese wurde in Eu- 
ropa 2012 wegen Datenschutzbedenken 
gestoppt. Seit 2018 ermöglicht das So- 
cial-Media-Portal auch in Europa wieder 
eine Zuordnung von Bildern, wenn die 
Betroffenen „zustimmen“. 

Im zentralen polizeilichen Informa- 
tionssystem in Deutschland (INPOL), 
das vom Bundeskriminalamt (BKA) ge- 
führt wird, sind über 5,8 Millionen Licht- 
bilder von ca. 3,6 Millionen Personen 
und ca. 3,5 Millionen Personenbeschrei- 
bungen aus erkennungsdienstlichen 
Behandlungen gespeichert (Stand März 
2020). Der damit verfolgte Zweck ist die 
Strafverfolgung und die Gefahrenab- 
wehr (s.u. 9.1). Durch den direkten Zu- 
griff auf INPOL stehen diese Lichtbilder 
mitsamt Personenbeschreibungen allen 
deutschen Polizeidienststellen sofort 
und aktuell zur Verfügung. Mit dem seit 
2008 im BKA betriebenen Gesichtser- 
kennungssystem (GES) können einzelne 
Lichtbilder mit dem Lichtbild-Gesamt- 
bestand automatisiert abgeglichen wer- 
den. Das GES trifft eine Vorauswahl aus 
dem Gesamtbestand. Die Treffer werden 
anschließend von Lichtbildexperten 
und -sachverständigen ausgewertet. 
Im Jahr 2019 wurden bundesweit bei ca. 
54.000 Recherchen im GES über 2.100 
Personen identifiziert. 

Die bisherige zweidimensionale Ge- 
sichtserkennung wird nach Weiterent- 
wicklung der Mustererkennungsmetho- 
den durch dreidimensionale Techni- 
ken ergänzt. Mit einem solchen multi- 
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biometrischen System besteht die Mög- 
lichkeit, Identifizierungen auch aus 
partiellen Gesichtsbildaufnahmen mit 
minderer Bildqualität vorzunehmen. 

Gesichtsbilder sind die biometrischen 
Merkmale, die sich am besten für eine 
Öffentlichkeitsfahndung eignen. Sie 
können über Fahndungsplakate, über 
Print- und Digitalmedien und insbeson- 
dere auch über das Internet verbreitet 
werden und ermöglichen es allen Men- 
schen, Zuordnungen vorzunehmen und 
an die fahndende Stelle zu melden. 

Die Qualität der biometrischen Ge- 
sichtserfassung wird erhöht, indem be- 
stimmte Erfassungsstandards vorge- 
geben werden und die Erfassung sowie 
Übermittlung in einer vertrauenswür- 
digen Umgebung stattfindet. Insofern 
macht z.B. nun das Gesetz zur Stärkung 
der Sicherheit im Pass-, Ausweis und 
ausländerrechtlichen Dokumentenwe- 
sen? eine Vielzahl von Vorgaben. Es soll 
damit u.a. das „Morphing“ verhindert 
werden, also die digitale Verfälschung 
von Gesichtsbildern, die dann von mehr 
als einer Person genutzt werden und 
deren Verfälschung im automatisierten 
Verfahren nicht so leicht erkannt wer- 
den kann. 

Die Verfügbarkeit staatlich quali- 
tätsgesicherter, automatisiert lesbarer 
Lichtbilder aus Pässen und Personalaus- 
weisen sowie von privaten oder hoheit- 
lichen Zuordnungsdatenbanken (z.B. 
GES des BKA) erhöht das Risiko, dass 
Menschen anhand ihres Gesichts auto- 
matisiert oder konventionell identifi- 
ziert werden, ohne dass sie als Betroffe- 
ne hiervon Kenntnis erlangen. Zugleich 
erhöht eine solche Verfügbarkeit auch 
das Risiko, über Tatortbilder in straf- 
rechtliche Ermittlungsverfahren einbe- 
zogen zu werden. Diesem Risiko muss 
mit Hilfe von geeigneten Garantien ent- 
gegengewirkt werden (Art. 10 DSRL-JI). 

Bisher spielten Gesichtsbildabglei- 
che außerhalb der Strafverfolgung in 
Deutschland eine untergeordnete Rolle. 
Einzig als geeignetes Mittel zur Überfüh- 
rung von Straßenverkehrsverstößen, 
insbesondere Rotlichtverstößen und 
Geschwindigkeitsüberschreitungen, 
wird die Methode durch den analogen 
Vergleich von Verkehrssünderfotos mit 
den Bildern in den kommunalen Pass- 
bzw. Ausweisregistern auf Massenbasis 
genutzt, wenn der Kfz-Halter bestreitet, 


der regelverletzende Fahrer zu sein. Die 
Praxis in China zeigt, dass die Methode 
zur Sanktionierung von jeder Art von 
Regelverstößen geeignet ist, etwa zur 
Anprangerung von Rotlichtverstößen 
(s.u.5). 

In den Jahren 2017/2018 wurde 
vom Bundesinnenministerium auf dem 
Bahnhof Berlin-Südkreuz ein Feldver- 
such zur automatisierten Gesichts- 
erkennung im öffentlichen Bereich 
durchgeführt, der auf starke, auch 
rechtlich begründete öffentliche Kri- 
tik stieß. In Deutschland forderte ein 
Bündnis von Bürgerrechtsorganisatio- 
nen „Gesichtserkennung stoppen” ein 
generelles Verbot automatisierter Ge- 
sichtserkennung. In anderen Staaten ist 
dagegen der automatisierte Gesichtsab- 
gleich für viele Anwendungsfälle schon 
über das Teststadium hinaus alltägliche 
Praxis. 


3 Fingerabdrücke 


Der Fingerabdruck ist die Wiedergabe 
der Papillarlinien an der Fingerkuppe 
eines Menschen. Diese Linien sind in 
Bezug auf jeden Menschen einzigartig. 
Es ist bisher nicht bekannt, dass iden- 
tische Fingerabdrücke von zwei Men- 
schen gefunden worden sind. Ein Ver- 
gleich erfolgt insbesondere über die Po- 
ren- und Linienstruktur (Minutien). Zur 
Extrahierung der Minutien werden diese 
mit Hilfe von speziellen Algorithmen in 
eine mathematische Form gebracht. 

Anders als Gesichtsbilder sind Finger- 
abdrücke nicht so leicht zu erlangen. 
Um auf einfache Weise qualitativ hoch- 
wertige Fingerabdrücke zu erhalten, 
bedarf es einer gewissen Kooperation 
des Betroffenen. Fingerabdrücke lassen 
sich aber mit etwas höherem Aufwand 
auch ohne Beteiligung der Betroffenen 
erheben, z.B. indem angefasste Objek- 
te (Gläser, Türklinken) auf Fingerab- 
druckspuren hin ausgewertet werden. 
Da solche Spuren fast überall im täg- 
lichen Leben eines Menschen anfallen, 
ist ein Erlangen von Fingerabdrücken 
und deren Zuordnung zu einer Person 
ohne deren Wissen möglich. 

Die Erfassung von Fingerabdrücken 
hat eine lange Tradition in der polizeili- 
chen Praxis zwecks Zuordnung von Tat- 
ortspuren. Inzwischen wird das Erfassen 
und Abgleichen als Identifizierungsme- 
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thode auch von anderen Behörden und 
von privaten Stellen genutzt. Anders als 
die Gesichtserkennung, bei der die Zu- 
ordnungsqualität von der Bildperspek- 
tive, der Beleuchtung und dem Fehlen 
von störenden Einflüssen (Haare, Bril- 
le, Gesichtsbedeckung) abhängt, kann 
wegen der Einzigartigkeit der Fingerab- 
drücke allein mit einem Fingerabdruck 
in der Regel eine sichere Zuordnung 
vorgenommen werden. 

Das BKA führt seit 1951 eine zentrale 
Fingerabdrucksammlung. 1993 wurde 
ein automatisiertes Fingerabdruck- 
Identifizierungs-System (AFIS), ein- 
geführt, das auf der Codierung der ana- 
tomischen Merkmale (Minutien) basiert 
(vgl. 8.3, s.u. 9.1). Die Einführung der 
„Livescan”-Technologie im Jahr 2004 er- 
möglicht es, die Fingerabdrücke (eben- 
so wie die der Handflächen) digital auf- 
zunehmen und im zentralen AFIS des 
BKA zu speichern. Im Rahmen des sog. 
Fast-ID-Verfahrens können seit 2006 
digital aufgenommene Fingerabdrücke 
ohne Zeitverzug im AFIS recherchiert 
werden. So sind z.B. im polizeilichen 
Streifendienst, bei Großveranstaltun- 
gen (Fußballspiele, Konzerte etc.) und 
bei Grenzkontrollen rund um die Uhr 
innerhalb von wenigen Augenblicken 
zuverlässige, biometrisch basierte Per- 
sonenidentifizierungen oder Zuordnun- 
gen möglich. Das BKA verarbeitet mo- 
natlich ca. 60.000 eingehende digitale 
Fingerabdruckblätter, die gespeichert, 
ausgewertet und qualitätsüberprüft 
werden. Dabei wurden 2019 monatlich 
rund 19.300 Identifizierungen durch 
Abgleich von Fingerabdrücken erzielt. 
Bei Fast-ID ist das Vorgangsaufkommen 
bisher ähnlich hoch: Hier führt ca. ein 
Drittel der Anfragen zu einem Treffer im 
Bestand. Zudem wurden im Jahr 2019 
monatlich ca. 30.000 Tatortspuren re- 
cherchiert, die im AFIS gespeichert 
sind, was im Durchschnitt zu ca. 2.200 
Treffern führte. 


4 Sonstige biometrische 
Identifizierungsverfahren 


Biometrische Identifizierung mit 
Mitteln der automatisierten Musterer- 
kennung beschränkt sich nicht auf das 
Gesicht und die Finger. Grundsätzlich 
eignen sich viele physiologische und 
verhaltenstypische Merkmale zu Iden- 


DANA ® Datenschutz Nachrichten 1/2021 


tifizierungszwecken, soweit ihnen eine 
individuelle Eigenheit zukommt. Die 
Merkmalserfassung kann optisch, akus- 
tisch oder mit sonstiger Sensorik, etwa 
mit chemischen und biotechnischen 
Verfahren, erfolgen. Beispiele sind die 
Iris- und die Retinaerkennung, der Ab- 
gleich von Handabdrücken, der Scan 
der Handvenen, die Stimmerkennung 
(Sprechererkenung), die Zuordnung 
über den Geruch oder das Mikrobiom, 
also der bei einem Menschen festge- 
stellten Mikroben. Inzwischen gibt es 
auch immer mehr Verfahren, mit denen 
über eine Verhaltensanalyse eine (re- 
lativ) sichere individuelle Zuordnung 
ermöglicht wird, etwa die Analyse der 
Unterschriftsdynamik, des Tastatur- 
anschlags oder der Mausbewegung am 
Computer, des Gangs eines Menschen. 
Auch genetische Daten aus biotechni- 
schen Analysen eignen sich als biome- 
trische Identifizierungsdaten. 


5 Staatliche biometrische 
Identifizierung anderswo 


In Europa konzentriert sich die staat- 
liche biometrische Identifizierung auf 
die Bereiche der Sicherheit, der Grenz- 
kontrolle und des Ausländerwesens. 
Doch bestehen darüber hinausgehen- 
de Begehrlichkeiten. So musste z.B. in 
Schweden ein Schulprojekt mit einem 
Bußgeld von ca. 18.000 € sanktioniert 
werden, bei dem mittels Gesichtserken- 
nung die Anwesenheit der Schüler kon- 
trolliert werden sollte. In Italien wurden 
entsprechende Anwesenheitskontroll- 
versuche bei Schülern mit Fingerab- 
drücken gemacht. Rechtlich unbean- 
standet blieb bisher offenbar das „Loi 
relative ä la protection de lL’identite” in 
Frankreich, das nicht nur die Speiche- 
rung von Fingerabdrücken in Personal- 
ausweisen und Reisepässen vorsieht, 
sondern auch deren Speicherung in 
einem Zentralregister, auf das u.a. die 
Strafverfolgungsbehörden zugreifen 
können. 

In den USA ist automatisierte Ge- 
sichtserkennung weit verbreitet und 
wird schon von privaten Unternehmen 
für Sicherheitszwecke bei Großver- 
anstaltungen eingesetzt. Strafverfol- 
gungsbehörden nutzen die Gesichts- 
erkennungsdatenbank von Clearview 
AI. Hiergegen regt sich Widerstand, 


der u.a. damit begründet wird, dass die 
Gesichtserkennung vorrangig mit Ge- 
sichtern weißer Männer trainiert wurde. 
Dies führt dazu, dass bei Frauen und 
nicht-weißen Personen eine sehr viel 
höhere Fehlerrate vorliegt, was zu einer 
Diskriminierung der Betroffenen führen 
kann. Der Widerstand führte dazu, dass 
Gesichtserkennung in einigen Städten, 
u.a. San Francisco und Oakland, ver- 
boten ist. Amazon untersagte für ein 
Jahr der US-Polizei die Nutzung seiner 
Erkennungssoftware „AWS Recogniti- 
on” wegen der Fehlerrisiken. Microsoft 
erklärte, mit seinen Produkten Polizei- 
behörden nicht mehr zu unterstützen zu 
wollen. Im Januar 2020 startete die US- 
Regierung mit einer zentralen Speiche- 
rung von DNA-Identifizierungsdaten 
von Flüchtlingen. 

InBrasilien wurden im Jahr 2019 erst- 
mals Kameras mit Gesichtserkennung 
eingesetzt, um große Menschenmassen 
zu kontrollieren. Dies erfolgte z.B. wäh- 
rend des Karnevals in Rio mit Hilfe des 
britischen Facewatch-Systems, wobei 
die Gesichtsdaten von 1.100 gesuchten 
Straftätern zum Abgleich hinterlegt 
wurden. Anwendung findet die Technik 
auch in Flughäfen. Zum Einsatz kommt 
dabei auch chinesische Software. 

In Russland wird in größeren Städ- 
ten biometrische Gesichtserkennung 
umfangreich angewendet. 2017 wa- 
ren in der Hauptstadt Moskau 170.000 
Überwachungskameras im Einsatz, die 
mit der Gesichtserkennung der Firma 
N-Tech.Lab ausgestattet wurden. 

In Indien wird im Rahmen des sog. 
Aadhar-Projektes die größte biomet- 
rische Datenbank der Welt aufgebaut. 
Dabei sollen alle 1,3 Mrd. Inder mit Iris- 
Scan und Fingerabdruck erfasst werden. 

Besonders weit entwickelt ist die 
biometrische Identifizierung in China. 
Im Wirtschaftsbereich ist Gesichtser- 
kennung etabliert, etwa beim elektro- 
nischen Bezahlen über den Messenger- 
Dienst WeChat. Gesichtserkennung wird 
genutzt, um Straßenverkehrsverstöße 
zuzuordnen und die Betroffenen um- 
gehend öffentlich an den Pranger zu 
stellen. Selbst die Papiernutzung auf 
Toiletten kann dort per Gesichtsscan- 
ning kontrolliert werden. Seit Dezem- 
ber 2019 bekommt man in China nur 
noch einen Internet-Anschluss oder 
eine Mobilfunknummer, wenn zuvor zur 
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Überprüfung der Identität das Gesicht 
gescannt wurde. Im November 2019 
wurde das National Information Secu- 
rity Standardization Technical Commit- 
tee gebildet, mit dem Standards für die 
Identifizierung, zunächst im Bereich 
der Gesichtserkennung, festgelegt wer- 
den. Die Standards sollen alle Bereiche 
erfassen, auch die regionale und die lo- 
kale Verwaltung, die Industrie und die 
Wirtschaft. Zur erleichterten Kontrolle 
und Unterdrückung der uiqurischen 
Bevölkerung der westchinesischen Pro- 
vinz Xinjiang wurde eine umfassende 
DNA-Bevölkerungsdatenbank etabliert. 


6 Internationale Kooperation: 
Interpol 


Die Internationale kriminalpolizeili- 
che Organisation - Interpol - (englisch 
International Criminal Police Organi- 
zation, ICPO) ist ein privatrechtlich 
organisierter Verein zur Stärkung der 
Zusammenarbeit nationaler Polizeibe- 
hörden. Er wurde 1923 als Internatio- 
nale kriminalpolizeiliche Kommission 
in Wien gegründet und hat seinen Sitz 
in Lyon/Frankreich. Derzeit hat Inter- 
pol 194 Mitgliedstaaten. Interpol be- 
treibt Datenbanken zur forensischen 
Identifizierung mit Hilfe von Biome- 
trie. Ziel ist der grenzüberschreitende 
globale Austausch zwecks Bekämpfung 
von internationalen Verbrechen, aber 
auch zwecks Identifizierung von Katas- 
trophenopfern. Alle drei Jahre führt In- 
terpol ein International Fingerprint and 
Face Symposium durch, das einen welt- 
weiten Austausch über moderne biome- 
trische Identifizierungsmethoden zum 
Ziel hat. 

Die Identifizierung von Katstrophen- 
opfern erfolgt seit 1984 über Disaster 
Victim Identification (DVI), wobei eine 
Kombination von Abgleichen zu Ge- 
sichtsbildern, sonstigen Körpereigen- 
schaften (Tatoos, Implantate, Narben), 
Finger-, Hand- und Fußabdrücken, Ge- 
bissdokumentationen und Genproben 
genutzt wird. Das deutsche BKA hat 
hierfür ein unterstützendes DVI Germa- 
ny Team im Einsatz. 

Im Bereich der internationalen Kri- 
minalitätsbekämpfung kommen bei 
Interpol Verfahren der automatisierten 
Gesichtserkennung, des Fingerabdruck- 
und des DNA-Abgleichs zum Einsatz. 
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Das Interpol Face Recognition System 
(IFRIS) wurde 2016 eingeführt und hat 
mit einer Kombination von automati- 
sierter Suche und analoger Verifizie- 
rung seitdem über 1.000 Personen iden- 
tifiziert. Zum Einsatz kommt bei einigen 
Mitgliedstaaten zudem eine vollständig 
automatisierte Treffer-Rückmeldung. 

Das von Interpol betriebene Auto- 
matic Fingerprint Identification Sys- 
tem (AFIS) enthält mehr als 220.000 
personalisierte Datensätze sowie mehr 
als 17.000 Tatortspuren. Die Speiche- 
rung und der Abgleich erfolgt auf der 
Grundlage des NIST-Standards (Natio- 
nal Institute of Standards and Techno- 
logy, Version 6.0 von 2020), mit dem 
JPG-Datensätze einheitlich konvertiert 
werden können. 2019 konnten so mehr 
als 1.600 Zuordnungen vorgenommen 
werden. 

2002 wurde bei Interpol eine DNA- 
Datenbank eingerichtet, die mit Stand 
2019 von 89 Mitgliedstaaten bestückt 
wird und 242.000 Datensätze enthält. 
Gespeichert sind ausschließlich die 
DNA-Marker in Form eines alphanume- 
rischen Codes; die dazu gehörenden In- 
formationen werden von den Mitglieds- 
staaten vorgehalten und auf Einzelan- 
frage hin übermittelt. 


7 Europäische Biometrie- 
Kooperationen 


Folgende Einrichtungen der EU sam- 
meln systematisch biometrische Daten 
für Identifizierungszwecke: Das Schen- 
gener Informationssystem (SIS), das 
Visa-Informationssystem (VIS), Eurodac 
sowie Europol. 2012 wurde eu-LISA ge- 
gründet als Agentur für das Betriebsma- 
nagement der drei großen IT-Systeme 
für Sicherheit und Migrationskontrolle 
(SIS, VIS, Eurodac). Für die Speicherung 
von eingescannten Fingerabdruckbil- 
dern verwenden alle in der EU einge- 
setzten Systeme das gleiche Format. Für 
die Fingerabdruck-Templates zur Erfas- 
sung der Minutien werden hingegen un- 
terschiedliche Formate verwendet. 


7.1 Europol 


Europäisches Polizeiamt, kurz Euro- 
pol, ist der Name der EU-Polizeibehörde 
mit Sitz in Den Haag. Sie soll die Arbeit 
der nationalen Polizeibehörden Europas 


im Bereich der grenzüberschreitenden 
organisierten Kriminalität koordinie- 
ren und den Informationsaustausch 
zwischen den nationalen Polizeibehör- 
den fördern. Seit dem 01.01.2010 ist 
Europol, das zunächst auf der Grund- 
lage eines völkerrechtlichen Vertrags 
gegründet wurde, eine Agentur der 
Europäischen Union. Aktuell gültige 
Rechtsgrundlage ist die Verordnung 
(EU) 2016/794 (Europol-VO).” Im An- 
hang II dieser Verordnung werden die 
personenbezogenen Daten aufgeführt, 
die gemäß Art. 18 Abs. 2 lit. a Europol- 
VO erhoben und abgeglichen werden 
dürfen. Dort sind unter B. lit. c v auf- 
geführt: Informationen für die forensi- 
sche Identifizierung wie Fingerabdrücke, 
(dem nicht codierenden Teil der DNA 
entnommene) DNA-Profile, Stimmprofil, 
Blutgruppe, Gebiss. 

Die Datenspeicherung erfolgt im Eu- 
ropol Informations System (EIS). 2018 
waren bei Europol 8.000 Datensätze mit 
vollständigen zehn Fingerabdrücken 
gespeichert sowie 1.000 einzelne Fin- 
gerabdrücke aus Tatortspuren, 

Europol soll künftig (ebenso wie die 
europäische Grenzschutzbehörde Fron- 
tex) zur Verfolgung und Prävention 
terroristischer und anderer schwerer 
Straftaten einfacheren Zugang zu SIS, 
Eurodac und VIS erhalten als bisher. 


7.2 Schengener Informationssystem 


Das Schengener Informationssys- 
tem (SIS) wurde 1995 als Kompensa- 
tions- und Sicherungsmaßnahme nach 
Abschaffung von Grenzkontrollen zwi- 
schen EG-Mitgliedstaaten eingerichtet. 
Es ist inzwischen die größte hoheitliche 
Datenbank in Europa und wird als Fahn- 
dungsdatenbank von Grenz-, Polizei-, 
Zollbehörden sowie auch von Geheim- 
diensten genutzt. Unter der Verantwor- 
tung der Europäischen Kommission wur- 
de eine erweitere Version des SIS (SIS II) 
entwickelt, in dem seit 2013 (geplant war 
2007) auch erstmals biometrische Da- 
ten zu Fahndungszwecken gespeichert 
werden. Derzeit sind an dem System 26 
EU-Mitgliedstaaten (alle außer Irland 
und Zypern) sowie Island, Norwegen, 
Liechtenstein und die Schweiz beteiligt. 
Zum Stichtag 01.01.2020 waren 90 Mio. 
Datensätze (Personen und Gegenstände) 
gespeichert. 
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Die aktuell gültigen Rechtsgrund- 
lagen sind für den ausländerrechtli- 
chen Teil von SIS die Verordnung (EG) 
Nr. 1987/2006 über die Einrichtung, 
den Betrieb und die Nutzung des Schen- 
gener Informationssystems der Zweiten 
Generation (SIS II-VO)* sowie in Bezug 
auf die Sicherheitsbehörden der Be- 
schluss 2007/533/JI (SIS-II-B). In 
Art. 1 Abs. 2 SIS-II-VO/SIS-II-B wird 
der Zweck von SIS II denkbar weit de- 
finiert als der Informationsaustausch, 
um ein hohes Maß an Sicherheit in dem 
Raum der Freiheit, der Sicherheit und 
des Rechts der Europäischen Union, ein- 
schließlich der Wahrung der öffentlichen 
Sicherheit und Ordnung sowie des Schut- 
zes der Sicherheit im Hoheitsgebiet der 
Mitgliedstaaten, zu gewährleisten. Eine 
Ausschreibungskategorie sind Einreise- 
und Aufenthaltsverweigerungen, wozu 
Lichtbilder und Fingerabdrücke ausge- 
tauscht werden können (Art. 20 Abs. 2 
lt. e, f SIS-II-VO/SIS-II-B). Insofern 
besteht eine enge Zweckbegrenzung auf 
die Identitätsbestätigung und (für Fin- 
gerabdrücke) die Identitätsfeststellung 
(Art.21Abs.2,3SIS-II-VO, Art. 22 Abs.2, 
3 SIS-II-B). Ein weiterer Zweck besteht 
in polizeilichen Fahndungsausschrei- 
bungen (Art. 20 i.V.m. Art. 26, 32, 34, 
36, 38 SIS-II-B: Auslieferungshaft, Ver- 
misste, Durchführung eines Gerichts- 
verfahrens, Strafverfolgung, Gefahren- 
abwehr, verdeckte/gezielte Kontrolle). 
Einen direkten Zugriff auf die Daten 
haben Grenzkontrollbehörden, der Zoll, 
die Polizei, Justizbehörden sowie Stel- 
len, die für die Visumerteilung sowie für 
die Erteilung von Aufenthaltstiteln zu- 
ständig sind (Art. 27 SIS-II-VO, Art. 40 
SIS-II-B). Auf Daten zur Gefahrenab- 
wehr und Strafverfolgung dürfen auch 
Europol und Eurojust zugreifen (Art. 41, 
42 SIS-II-B). DieSIS-II-Daten können in 
nationalen Dateien gespeichert werden 
(Art. 32 SIS-III-VO, Art. 47 SIS-II-B). 
Erlaubt ist auch die Speicherung von 
Fingerabdrücken und Lichtbildern so- 
wie sonstiger Identifizierungsdaten zur 
Missbrauchsverhinderung in Bezug auf 
Personen, deren Identität missbraucht 
werden könnte, wenn der Betroffene sei- 
ne Genehmigung hierzu erteilt (Art. 36 
SIS-II-VO/Art. 51 SIS-II-B). 

2018 lagen im SIS ca. 121.000 Fin- 
gerabdruckdatensätze vor, inzwischen 
sind es über 273.000. 2020 gab es zudem 
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einen Bestand von ca. 63.500 Lichtbil- 
dern. Allein die deutschen Behörden 
konnten 2019 ca. 9.000 Treffer bei bio- 
metrischen Suchläufen vorweisen und 
damit das Vierfache des Vorjahres. 

MitdenVerordnungen (EU) 2018/1860, 
2018/1861 und 2018/1862° erfolgt eine 
Erweiterung des Anwendungsbereichs 
von SIS IL in Bezug auf für die Registrie- 
rung von Drittstaatsangehörigen sowie 
für Bescheinigungen zuständigen Be- 
hörden, Verkehrsbehörden oder Stellen, 
die für Schusswaffen zuständig sind. 
Angeschlossen wird zudem die euro- 
päische Grenzagentur Frontex. Die Zu- 
griffsrechte schon berechtigter Stellen 
werden ausgeweitet. Zur Speicherung 
zugelassen werden Licht- und Gesichts- 
bilder sowie daktyloskopische Daten. 
Letztere bestehen aus ein bis zehn fla- 
chen Fingerabdrücken und ein bis zehn 
abgerollten Fingerabdrücken oder bei de- 
nen die Erfassung von Fingerabdrücken 
nicht möglich ist, aus bis zu zwei Handab- 
drücken. Die nationale Umsetzung der 
SIS-Neufassung (SIS 3.0) sollte bis Ende 
2021 abgeschlossen sein. Die Federfüh- 
rung für die Umsetzung in Deutschland 
liegt beim BKA, wobei es drei Teilprojek- 
te (Fachlichkeiten) gibt: Polizei (BKA), 
Rückkehrentscheidungen (BAMF) und 
Technik (BKA). 


7.3 Eurodac 


Mit dem europäischen daktyloskopi- 
schen System Eurodac werden alle zehn 
Fingerabdrücke von Asylbewerbern 
und Geflüchteten EU-weit sowie von 
Island, Liechtenstein, der Schweiz und 
Norwegen gespeichert und für Abgleich- 
zwecke bereitgehalten. Das Eurodac- 
System wurde am 15.01.2003 zunächst 
in den Mitgliedstaaten der Europäischen 
Union in Betrieb genommen. Rechts- 
grundlage ist heute eine Verordnung 
der Europäischen Union von 2013, die 
in den teilnehmenden Mitgliedstaaten 
unmittelbar gilt (Eurodac-V0).” Diese 
Verordnung löst die ursprüngliche Ver- 
ordnung von 2000 ab.° Um eine länder- 
übergreifende Vergleichsmöglichkeit der 
Fingerabdrücke zu ermöglichen, werden 
die Fingerabdrücke in Eurodac nicht als 
Template, sondern als digitale Bilddaten 
abgelegt und verglichen. 

Die beteiligten Staaten erfassen von 
den mindestens 14 Jahre (künftig 6 Jah- 


re) alten Asylbewerbern nach Antrag- 
stellung oder von ausländischen Perso- 
nen, die an der Außengrenze oder im 
grenznahen Raum angetroffen werden, 
deren jeweilige Fingerabdrücke und 
übermitteln diese in digitalisierter Form 
an eine zentrale nationale Stelle (Zent- 
raleinheit), die über die technische 
Ausstattung zur Speicherung und zum 
Abgleich verfügt. Erfasst werden die 
„Fingerabdruckdaten”, die in Art. 2 
Abs. 1 lit. 1 Eurodac-VO definiert wer- 
den: Fingerabdruckdaten für sämtliche 
Finger, mindestens aber für die Zeige- 
finger, oder sollten diese fehlen, für alle 
anderen Finger einer Personen oder eine 
Fingerabdruckspur. 

Die Datenanlieferung zur Zentralein- 
heit und die Abfrage von dort erfolgt 
über eine „nationale Zugangsstelle”. 
In Deutschland ist dies das Bundesamt 
für Migration und Flüchtlinge (BAMF). 
Der zentrale Zugang für die deutschen 
Polizei- und Strafverfolgungsbehörden 
erfolgt über das BKA. Die Fingerab- 
druckdaten werden gemeinsam mit ei- 
ner von dem einspeichernden Mitglied- 
staat vergebenen Referenznummer und 
wenigen Verfahrensdaten an Eurodac 
übermittelt (Art. 9, 11 Eurodac-VO). Als 
Ergebnis des elektronischen Abgleichs 
wird dem anfragenden Mitgliedstaat nur 
mitgeteilt, ob in der Zentraleinheit be- 
reits übereinstimmende Fingerabdruck- 
daten vorhanden sind oder nicht (hit/ 
no-hit-System). Im Trefferfall werden 
zusätzlich die genannten Verfahrens- 
daten übermittelt. Anhand dieser Anga- 
ben kann festgestellt werden, ob die be- 
treffende Person bereits vorher in einem 
oder mehreren anderen Mitgliedstaaten 
einen Asylantrag gestellt hat. Die end- 
gültige Identifizierung kann danach 
von dem anfragenden Mitgliedstaat 
nach Artikel 15 des Dubliner Überein- 
kommens in bilateraler Zusammenarbeit 
mit den betroffenen Mitgliedstaaten 
vorgenommen werden. 

Seit 2015 ist nach Neufassung der Eu- 
rodac-VO die Nutzung der Eurodac-Da- 
ten auch für den Abgleich zu Zwecken 
der Gefahrenabwehr und Strafverfol- 
gung erlaubt. Hierfür müssen bestimm- 
te Voraussetzungen erfüllt sein, z.B. 
muss der Datenabgleich im Einzelfall 
erforderlich sein zur Verhütung, Auf- 
deckung oder Untersuchung einer ter- 
roristischen oder sonstigen schweren 
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Straftat und ein vorheriger Abgleich mit 
nationalen Fingerabdruckdateien muss 
erfolglos geblieben sein. 

Inzwischen ist eine Neufassung der 
Eurodac-VO von der EU-Kommission auf 
den Weg gebracht worden.’ Darin ist die 
Herabsetzung des Alters der von einer 
Fingerabdruckerfassung Betroffenen 
von 14 auf 6 Jahre vorgesehen. Geplant 
ist weiterhin eine Änderung in der Spei- 
cherpraxis. Geplant ist zudem eine Er- 
fassung des Gesichtsfelds. 


7.4 Visa-Informationssystem 


Eine Parallele zu Eurodac besteht mit 
dem europäischen Visa-Informations- 
system (VIS), das eine europaweite Ko- 
ordination der Visa-Erteilung zum Ziel 
hat und 2011 in Betrieb ging. Rechtli- 
che Grundlage ist die VIS-Verordnung 
(VIS-VO).'° Gemäß Art. 9 Nr. 6, 6 VIS-VO 
gibt die Visumbehörde u.a. in das Sys- 
tem ein: 5. ein Foto des Antragstellers 
entsprechend der Verordnung (EG) 
Nr. 1683/95; 6. Fingerabdrücke des An- 
tragstellers gemäß den maßgeblichen 
Bestimmungen der Gemeinsamen Konsu- 
larischen Instruktion. 

Die Erfassung biometrischer Daten 
für Visazwecke ist im Visakodex gere- 
gelt.'! Art. 13 Abs. 1 Visakodex ent- 
hält folgende Regelung: Die Mitglied- 
staaten erfassen im Einklang mit den 
in der Konvention zum Schutze der Men- 
schenrechte und Grundfreiheiten des 
Europarates, in der Charta der Grund- 
rechte der Europäischen Union und im 
VN-Übereinkommen über die Rechte des 
Kindes verankerten Garantien biometri- 
sche Identifikatoren des Antragstellers, 
nämlich sein Lichtbild und seine zehn 
Fingerabdrücke. Die Aufbewahrungs- 
frist im VIS beträgt nach Art. 23 Abs. 1 
VIS-VO höchstens 5 Jahre. 

Gemäß Art. 15 Abs. 2 lit. e VIS-VO 
können die Fingerabdrücke zur Prü- 
fung der Visumsanträge abgerufen 
werden. Art. 18 Abs. 1, Abs. 4 lit. b VIS- 
VO erlaubt die Abfrage der Fingerabdrü- 
cke sowie im Zweifelsfall von Fotos an 
Außengrenzübergangsstellen zur Verifi- 
zierung der Identität des Visuminhabers 
und/oder der Echtheit des Visums. Ent- 
sprechendes gilt für die Verifizierung 
nach Art. 19, 20 VIS-VO innerhalb des 
Hoheitsgebiets der EU-Mitgliedstaaten, 
zur Bestimmung der Zuständigkeit für 
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Asylanträge (Art. 21 VIS-VO) sowie zur 
Prüfung eines Asylantrags (Art. 22 VIS- 
VO). Eine Löschung erfolgt grds. nach 5 
Jahren (Art. 23 VIS-VO). 

2018 hat die EU-Kommission eine 
Überarbeitung der Verordnung sowie 
damit in Verbindung stehender Ver- 
ordnungen beschlossen, wodurch der 
Zugang von Strafverfolgungsbehör- 
den zum VIS erleichtert werden soll." 
Den Zugang deutscher Sicherheitsbe- 
hörden zu VIS regelt das VIS-Zugangs- 
gesetz.'? 

2018 waren knapp 48 Mio. Fingerab- 
druckdatensätze im VIS gespeichert. 
Künftig soll das VIS mit einer Gesichts- 
erkennungssoftware ausgestattet wer- 
den. Zudem ist geplant, den automati- 
sierten Abgleich der Fingerabdrücke 
im SIS, im europäischen Einreise-/Aus- 
reisesystem (EES) und im Europäischen 
Reisegenehmigungssystem (ETIAS) 
„mit einem einzigen Klick“ zu ermögli- 
chen (s.u. 7.6). 


7.5 Prümer Vertrag 


Der Prümer Vertrag ist ein zwischen- 
staatliches Abkommen zwischen der- 
zeit 13 Mitgliedstaaten der EU, das die 
grenzüberschreitende Zusammenarbeit 
und insbesondere den Informations- 
austausch zwischen den Vertragspar- 
teien zum Zweck der Verhinderung 
und Verfolgung von Straftaten und der 
illegalen Migration verbessern soll. Das 
Abkommen mit der amtlichen Bezeich- 
nung „Vertrag über die Vertiefung der 
grenzüberschreitenden Zusammenar- 
beit, insbesondere zur Bekämpfung des 
Terrorismus, der grenzüberschreiten- 
den Kriminalität und der illegalen Mig- 
ration” wurde am 27.05.2005 im rhein- 
land-pfälzischen Prüm geschlossen. 
Signatarstaaten sind Belgien, Deutsch- 
land, Spanien, Frankreich, Luxemburg, 
die Niederlande und Österreich. Dem 
Abkommen beigetreten sind bisher Bul- 
garien, Estland, Finnland, Rumänien, 
die Slowakei und Ungarn. Die anderen 
EU-Mitgliedstaaten können dem Vertrag 
beitreten; sie sind dazu jedoch nicht 
verpflichtet. Der Vertrag von Prüm ist 
kein EU-Abkommen. 

Der Prümer Vertrag sieht vor, dass 
Polizei- und Strafverfolgungsbehörden 
direkt auf bestimmte Datenbanken zu- 
greifen können, die von den Behörden 


der anderen Vertragsstaaten geführt 
werden. Die Zugriffsberechtigung er- 
streckt sich u.a. auch auf elektronisch 
gespeicherte Fingerabdrücke, in 
Deutschland also auf die in AFIS ge- 
speicherten Daten. Seit Februar 2008 
tauschen Deutschland, Luxemburg und 
Österreich daneben als weltweit erste 
Staaten im automatisierten Verfahren 
auch Fingerabdruckdaten aus. Wei- 
terhin erlaubt der Vertrag zu Zwecken 
einer eindeutigen biometrischen Iden- 
tifizierung den Zugriff auf DNA-Analy- 
se-Dateien, in Deutschland also auf die 
DNA-Datenbank des Bundeskriminal- 
amts (BKA). 

Derzeit errichten die Firmen IDEMIA 
und Sopra Steria für die EU ein bio- 
metrischen Erkennungssystem, wozu 
Fingerabdrücke und Gesichtsbilder aus 
fünf nationalen Datenbanken in einer 
Datei zusammengeführt werden und da- 
mit eine europaweite Interoperabilität 
biometrischer Datenbanken erreicht 
werden soll. 


7.6 Einreise-/Ausreisesystem 


Die EU realisiert zudem ein Ein-/ 
Ausreisesystem (EES), womit sämtliche 
Ein- und Ausreisen von Drittstaatsan- 
gehörigen an den Schengener Außen- 
grenzen erfasst werden - und zwar nicht 
beschränkt auf die visumspflichtigen 
Drittausländer, deren Visa bereits im 
VIS gespeichert sind. Beim Grenzüber- 
tritt werden dann die in den Reisedo- 
kumenten enthaltenen Gesichtsbilder 
und Fingerabdrücke ausgelesen und 
zusammen mit den Personalien sowie 
den Angaben über frühere Aufenthalte 
für fünf Jahre gespeichert. 

Mit dem Ein-/Ausreisesystem gekop- 
pelt werden soll zudem das Reiseinfor- 
mations- und -genehmigungssystem 
(ETIAS). Dieses soll eine „Vorabinfor- 
mation” über die geplante Einreise vi- 
sumsbefreiter Drittstaatsangehöriger 
möglich machen, die ihre Reise neu 
auf einem Internetformular ankündi- 
gen müssen. Vorab würden die entspre- 
chenden Daten von den zuständigen 
Grenzbehörden mit nationalen und in- 
ternationalen Informationssystemen 
abgeglichen. Europol soll hierfür eine 
„Watchlist“ erstellen, um die Einreise 
von unerwünschten Ausländern zu ver- 
hindern. 
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8 Erfassung von Ausländern nach 
deutschem Recht 


Parallel zur biometrischen Identifi- 
zierung nach europaweiten Vorgaben 
erfolgt der Einsatz der Methode auf der 
Grundlage des deutschen Ausländer- 
rechts. Dieser Einsatz ist dadurch ge- 
kennzeichnet, dass dabei keine stren- 
gen Erforderlichkeits- und Zweckprü- 
fungen stattfinden. 


8.1 Ausländerzentralregister 


Seit 1953 besteht in der Bundesrepu- 
blik Deutschland ein Ausländerzentral- 
register (AZR), das seit 1967 automa- 
tisiert geführt wird. Darin erfasst sind 
alle Nichtdeutschen, die sich nicht nur 
vorübergehend in der Bundesrepublik 
aufhalten. Das ursprünglich von Bun- 
desverwaltungsamt (BVA) betriebene 
AZR steht seit 2004 in der rechtlichen 
Verantwortung des Bundesamtes für 
Migration und Flüchtlinge (BAMF). Die 
Identifizierung der Betroffenen erfolg- 
te ursprünglich auf der Grundlage der 
von diesen zur Verfügung gestellten 
Dokumente. Erfasst wurden die sog. 
Grundpersonalien (Namen, Schreibwei- 
sen der Namen, Geburtsangaben, Ge- 
schlecht, Staatsangehörigkeit) sowie 
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„weitere Personalien” (u.a. abweichen- 
de Schreibweisen, andere, frühere und 
Aliasnamen, Familienstand, Angaben 
zum Ausweispapier).‘“ Biometrische 
Daten wurden zunächst nicht im AZR 
gespeichert. 

Das Lichtbild wird seit 2002 in der Vi- 
sa-Datei des AZR, in der Visaanträge ver- 
merkt werden, gespeichert ($ 29 Abs. 1 
Nr. 4 AZRG). In den allgemeinen Daten- 
bestand des AZR wurde das Lichtbild 
mit Gesetz vom 19.08.2007 in 8 3 Abs. 1 
Nr. 5a AZRG 2007 aufgenommen."° Damit 
soll die Identitätsfeststellung bei abfra- 
genden Stellen, die einen direkten Kon- 
takt zum Ausländer haben, erleichtert 
werden. Voraussetzung für die Erteilung 
eines Aufenthaltstitels ist die eindeutige 
Identifizierung (8 5 Abs. 1 Nr. 1a Auf- 
enthG). Das Lichtbild wurde vom Gesetz- 
geber als ein zuverlässiges, weil wenig 
veränderliches Datum eingestuft. 

Die Lichtbildangaben von EU-Bür- 
gern, die innerhalb der EU Freizügig- 
keit genießen, wurden mit Gesetz vom 
27.12.2012 wieder aus dem AZR-Daten- 
bestand herausgenommen (8 3 Abs. 4 
AZRG).'° Hintergrund dieser Änderung 
war, dass der Europäische Gerichtshof 
2008 festgestellt hatte, dass diese und 
weitere Speicherungen sowie insbeson- 
dere Datennutzungen für Zwecke der 
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Kriminalitätsbekämpfung in Bezug auf 
EU-Bürger zu einer Diskriminierung im 
Vergleich zu deutschen Staatsangehöri- 
gen führten.” 

Mit Gesetz vom 02.02.2016'° wurde 
die Speicherung von Fingerabdruck- 
daten im AZR eingeführt. Diese wer- 
den aber nicht von allen Ausländern 
erfasst, sondern nur von Flüchtlingen 
und unzulässig aufhältigen Auslän- 
dern: Betroffen ist nach 8 3 Abs. 2 Nr. 1 
AZRG ein Ausländer, der 1. ein Asylge- 
such geäußert hat, 2. unerlaubt einge- 
reist ist oder 3. sich unerlaubt im Gel- 
tungsbereich dieses Gesetzes aufhält (8 2 
Abs. 1a AZRG). Derart erfasst werden 
zudem Ausländer, die einen Asylantrag 
gestellt haben oder über deren Übernah- 
me nach den Rechtsvorschriften der Eu- 
ropäischen Gemeinschaft oder eines völ- 
kerrechtlichen Vertrages zur Durchfüh- 
rung eines Asylverfahrens entschieden 
ist (8 2 Abs. 2 Nr. 1 AZRG). Im AZR wer- 
den zusätzlich zu den Fingerabdruck- 
daten die dazu gehörigen Referenz- 
nummern gespeichert (8 3 Abs. 2 Nr. 1 
AZRG). Mit diesen sog. D-Nummern soll 
eine Zuordnung der Daten im AZR zu 
den Beständen im polizeilichen INPOL- 
System vorgenommen werden können. 

2019 wurde mit 8 3 Abs. 3a AZRG der 
Kreis der Personen, von denen im AZR 
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Fingerabdrücke (und Referenzdaten) 
gespeichert werden, erweitert um Aus- 
länder, für oder gegen die aufenthalts- 
rechtliche Entscheidungen getroffen 
worden sind oder die Antrag auf einen 
Aufenthaltstitel oder passrechtliche Maß- 
nahme gestellt haben, ausgenommen 
Entscheidungen und Anträge im Visaver- 
fahren (& 2 Abs. 2 Nr. 3 AZRG). Es han- 
delt sich um Ausländer, die aus dem 
Ausland aufgenommen werden sollen 
(Resettlement-, Relocation-, sonstige 
humanitäre Aufnahmeverfahren und 
Dublin-Übernahmeersuchen). Die zu- 
sätzliche Speicherung wurde wieder 
mit der besseren Identifizierbarkeit, 
diesmal im Rahmen des Abgleichverfah- 
rens, begründet. 

Ein Hauptzweck der Einführung ei- 
ner Spezialregelung für Flüchtlinge im 
AZRG bestand darin, einen gesetzlichen 
Rahmen für einen frühzeitigen Infor- 
mationsaustausch über diese zwischen 
verschiedenen öffentlichen Stellen nach 
einer qualifizierten Identitätsprüfung 
vornehmen zu können. Hierfür nutzt 
das BAMF weitere neue automatisierte 
Instrumente. Dazu gehört ein Transli- 
terationsassistent (TraLiTa), mit dem 
bei arabischsprachigen Antragstellern 
arabische Schriftzeichen einheitlich 
in lateinische Buchstaben übertragen 
werden, ein automatisiertes sprach- 
biometrisches Analysesystem, mit dem 
Sprachproben einer Dialektanalyse un- 
terworfen werden, um Herkunftsregio- 
nen festzustellen, und die Auswertung 
von Handydaten, um Rückschlüsse auf 
Kontakte und Fluchtwege ziehen zu 
können. 


8.2 Aufenthalts- und Asylgesetz 


Vor der zentralen AZR-Speicherung 
fanden sich biometrische Daten schon 
in den Akten und Dateien der Auslän- 
der- und Asylbehörden. & 49 Abs. 1 
AufenthG hat heute folgenden Wortlaut: 


Die mit dem Vollzug dieses Gesetzes be- 
trauten Behörden dürfen unter den Vor- 
aussetzungen des $ 48 Abs. 1 die aufdem 
elektronischen Speicher- und Verarbei- 
tungsmedium eines Dokuments nach $ 48 
Abs. 1 Nr. 1 und 2 gespeicherten biome- 
trischen und sonstigen Daten auslesen, 
die benötigten biometrischen Daten beim 
Inhaber des Dokuments erheben und die 
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biometrischen Daten miteinander ver- 
gleichen. Darüber hinaus sind auch alle 
anderen Behörden, an die Daten aus dem 
Ausländerzentralregister nach den $$ 15 
bis 20 des AZR-Gesetzes übermittelt wer- 
den, und die Meldebehörden befugt, 
Maßnahmen nach Satz 1 zu treffen, so- 
weit sie die Echtheit des Dokuments oder 
die Identität des Inhabers überprüfen 
dürfen. Biometrische Daten nach Satz 1 
sind nur die Fingerabdrücke und das 
Lichtbild. 


& 49 Abs. 1 AufenthG nimmt Bezug 
auf g 48 Abs. 1Nr. 1 u. 2 AufenthG, der 
die ausweisrechtlichen Pflichten von 
Ausländern regelt: 

Ein Ausländer ist verpflichtet, 

1. seinen Pass, seinen Passersatz oder 
seinen Ausweisersatz und 

2. seinen Aufenthaltstitel oder eine Be- 
scheinigung über die Aussetzung der 
Abschiebung auf Verlangen den mit dem 
Vollzug des Ausländerrechts betrauten 
Behörden vorzulegen, auszuhändigen 
und vorübergehend zu überlassen, soweit 
dies zur Durchführung oder Sicherung 
von Maßnahmen nach diesem Gesetz er- 
forderlich ist. 

& 49 Abs. 7 AufenthG erlaubt ein wei- 
teres biometrisches Verfahren zur Be- 
stimmung des Herkunftsstaates oder der 
Herkunftsregion des Ausländers: Das ge- 
sprochene Wort des Ausländers darf auf 
Ton- oder Datenträgern aufgezeichnet 
werden, wenn der Ausländer vorher dar- 
über in Kenntnis gesetzt wurde. 

Mit dem Terrorismusbekämpfungsge- 
setz!’ wurde 2002 das damalige Auslän- 
dergesetz dahingehend geändert, dass 
in die Dokumente über den jeweiligen 
Aufenthaltstitel biometrische Merk- 
male aufgenommen wurden. Gemäß 
& 48 Abs. 2 AufenthG genügt ein Auslän- 
der, der einen Pass oder Passersatz weder 
besitzt noch in zumutbarer Weise erlan- 
gen kann, ... der Ausweispflicht mit der 
Bescheinigung über einen Aufenthaltsti- 
tel oder die Aussetzung der Abschiebung, 
wenn sie mit den Angaben zur Person und 
einem Lichtbild versehen und als Auswei- 
sersatz bezeichnet ist. So ist über diesen 
„Ausweisersatz” gewährleistet, dass mit 
dem Lichtbild eine biometrische Identi- 
fizierung erfolgen kann. 

Gemäß 8 49 Abs. 6, 6a AufenthG sind 
die typischen Verfahren zur Feststel- 
lung der Identität das Aufnehmen von 


Lichtbildern und das Abnehmen von Fin- 
gerabdrücken. 

Bisher war die Durchführung die- 
ser Maßnahmen auf Ausländer ab dem 
14. Lebensjahr beschränkt (& 49 Abs. 6 
S. 2 AufenhG, ebenso & 16 Abs. 15.2 
AsylG). Am 01.04.2021 tritt eine Neure- 
gelung in Kraft, wonach die Erfassung 
von Fingerabdrücken schon ab dem 6. 
Lebensjahr zulässig ist.?° Hintergrund 
dieser Ausweitung ist, dass auf EU-Ebe- 
ne eine Änderung der Eurodac-VO und 
der Verordnung über das Visa-Informa- 
tionssystems anstand, die eine Erfas- 
sung der Fingerabdrücke schon ab dem 
6. Lebensjahr vorsieht.?' Es wird damit 
in Kauf genommen, dass wegen des 
Wachsens der Kinder Qualitätsdefizite 
bei den Abdrücken auftreten, da diese 
noch Wachstumsprozessen und Ände- 
rungen ausgesetzt sind. 

Das Verfahren der ausländerrechtli- 
chen Identitätsprüfung ist in 8 89 Auf- 
enthG geregelt: 

(1) Das Bundeskriminalamt leistet Amts- 
hilfe bei der Auswertung der nach & 49 
von den mit der Ausführung dieses Geset- 
zes betrauten Behörden erhobenen und 
nach $ 73 übermittelten Daten. Es darf 
hierfür auch von ihm zur Erfüllung sei- 
ner Aufgaben gespeicherte erkennungs- 
dienstliche Daten verwenden. Die nach 
$ 49 Abs. 3 bis 5 sowie 8 und 9 erhobenen 
Daten werden getrennt von anderen er- 
kennungsdienstlichen Daten gespeichert. 
Die Daten nach $ 49 Abs. 7 werden bei der 
aufzeichnenden Behörde gespeichert. 

(1a) Im Rahmen seiner Amtshilfe nach 
Absatz 1 Satz 1 darf das Bundeskrimi- 
nalamt die erkennungsdienstlichen Da- 
ten nach Absatz 1 Satz 1 zum Zwecke 
der Identitätsfeststellung auch an die 
für die Überprüfung der Identität von 
Personen zuständigen öffentlichen Stel- 
len von Drittstaaten mit Ausnahme des 
Herkunftsstaates der betroffenen Person 
sowie von Drittstaaten, in denen die be- 
troffene Person eine Verfolgung oder ei- 
nen ernsthaften Schaden zu befürchten 
hat, übermitteln. Die Verantwortung für 
die Zulässigkeit der Übermittlung trägt 
das Bundeskriminalamt. Das Bundeskri- 
minalamt hat die Übermittlung und ihren 
Anlass aufzuzeichnen. Die empfangende 
Stelle personenbezogener Daten ist da- 
rauf hinzuweisen, dass sie nur zu dem 
Zweck verarbeitet werden dürfen, zu dem 
sie übermittelt worden sind. Ferner ist ihr 
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der beim Bundeskriminalamt vorgesehe- 
ne Löschungszeitpunkt mitzuteilen. Die 
Übermittlung unterbleibt, wenn tatsäch- 
liche Anhaltspunkte dafür vorliegen, dass 
1. unter Berücksichtigung der Art der 
Daten und ihrer Erhebung die schutzwür- 
digen Interessen der betroffenen Person, 
insbesondere ihr Interesse, Schutz vor 
Verfolgung zu erhalten, das Allgemeinin- 
teresse an der Übermittlung überwiegen 
oder 

2. die Übermittlung der Daten zu den 
Grundrechten, dem Abkommen vom 28. 
Juli 1951 über die Rechtsstellung der 
Flüchtlinge sowie der Konvention zum 
Schutz der Menschenrechte und Grund- 
freiheiten in Widerspruch stünde, insbe- 
sondere dadurch, dass durch die Verarbei- 
tung der übermittelten Daten im Empfän- 
gerstaat Verletzungen von elementaren 
rechtsstaatlichen Grundsätzen oder Men- 
schenrechtsverletzungen drohen. 

(2) Die Verarbeitung der nach $ 49 
Abs. 3 bis 5 oder Abs.7 bis 9 erhobenen 
Daten ist auch zulässig zur Feststellung 
der Identität oder der Zuordnung von 
Beweismitteln im Rahmen der Strafver- 
folgung oder zur polizeilichen Gefahren- 
abwehr. Sie dürfen, soweit und solange 
es erforderlich ist, den für diese Maßnah- 
men zuständigen Behörden übermittelt 
oder bereitgestellt werden. 

(3) Die nach $ 49 Abs. 1 erhobenen Da- 
ten sind von allen Behörden unmittelbar 
nach Beendigung der Prüfung der Echt- 
heit des Dokuments oder der Identität des 
Inhabers zu löschen. Die nach & 49 Abs. 3 
bis 5, 7, 8 oder 9 erhobenen Daten sind 
von allen Behörden, die sie speichern, zu 
löschen, wenn 

1. dem Ausländer ein gültiger Pass oder 
Passersatz ausgestellt und von der Aus- 
länderbehörde ein Aufenthaltstitel erteilt 
worden ist, 

2. seit der letzten Ausreise, der versuch- 
ten unerlaubten Einreise oder der Been- 
digung des unerlaubten Aufenthalts zehn 
Jahre vergangen sind, 

3. in den Fällen des $ 49 Abs. 5 Nr. 3 und 4 
seit der Zurückweisung oder Zurückschie- 
bung drei Jahre vergangen sind oder 

4. im Falle des & 49 Abs. 5 Nr. 5 seit der 
Beantragung des Visums sowie im Falle 
des $ 49 Abs. 7 seit der Sprachaufzeich- 
nung zehn Jahre vergangen sind. 

Die Löschung ist zu protokollieren. 

(4) Absatz 3 gilt nicht, soweit und solan- 
ge die Daten im Rahmen eines Strafver- 
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fahrens oder zur Abwehr einer Gefahr für 
die öffentliche Sicherheit oder Ordnung 
benötigt werden. 

Die Funktion der Identifizierungsda- 
ten von Ausländern hat sich mit der Zeit 
ausgeweitet. Der Grundsatz ist, dass die 
erkennungsdienstlichen Unterlagen zu 
vernichten sind, nachdem dem Auslän- 
der ein gültiger Pass oder Passersatz aus- 
gestellt und von der Ausländerbehörde 
eine Aufenthaltsgenehmigung erteilt wor- 
den ist (so 8 78 Abs. 4S. 1 Nr. 1 AuslG, 
vgl. jetztg 89 Abs. 35.2 Nr. 1 AufenthG). 
Nach & 89 AufenthG kommt den ED- 
Unterlagen nun der zusätzliche Zweck 
der Datenbevorratung für eine künftige 
Identifizierung in Zweifelsfällen zu: 
Der Ausländer könnte später unter einer 
anderen Identität versuchen, einen Auf- 
enthaltstitel zu erlangen. 

Während im Aufenthaltsgesetz die 
biometrische Identifizierung davon ab- 
hängt, dass diese erforderlich ist, ver- 
pflichtet 8 16 Abs. 1, 2 AsylG in jedem 
Fall eines Asylgesuchs zu dieser Maß- 
nahme: 

(1) Die Identität eines Ausländers, 
der um Asyl nachsucht, ist durch er- 
kennungsdienstliche Maßnahmen zu 
sichern. Nach Satz 1 dürfen nur Licht- 
bilder und Abdrucke aller zehn Finger 
aufgenommen werden; soweit ein Aus- 
länder noch nicht das 14. Lebensjahr 
vollendet hat, dürfen nach Satz 1 nur 
Lichtbilder aufgenommen werden. Zur 
Bestimmung des Herkunftsstaates oder 
der Herkunftsregion des Ausländers 
kann das gesprochene Wort außerhalb 
der förmlichen Anhörung des Auslän- 
ders auf Ton- oder Datenträger aufge- 
zeichnet werden. Diese Erhebung darf 
nur erfolgen, wenn der Ausländer vor- 
her darüber in Kenntnis gesetzt wurde. 
Die Sprachaufzeichnungen werden beim 
Bundesamt gespeichert. 

(1a) Zur Prüfung der Echtheit des Doku- 
mentes oder der Identität des Auslän- 
ders dürfen die auf dem elektronischen 
Speichermedium eines Passes, aner- 
kannten Passersatzes oder sonstigen 
Identitätspapiers gespeicherten biome- 
trischen und sonstigen Daten ausgele- 
sen, die benötigten biometrischen Daten 
erhoben und die biometrischen Daten 
miteinander verglichen werden. Biome- 
trische Daten nach Satz 1 sind nur die 
Fingerabdrücke, das Lichtbild und die 
Irisbilder. 


8.3 AFIS beim BKA 


Die zentrale Fingerabdrucksamm- 
lung des Bundeskriminalamtes (BKA) 
wurde seit dessen Gründung im Jahr 
1951 kontinuierlich ausgebaut. Im Jahr 
1976 nahm das erste halbautomatische 
Datenverarbeitungssystem zur Auswer- 
tung von Fingerabdrücken den Wirkbe- 
trieb auf. Ein verbessertes, automati- 
siertes Fingerabdruck-Identifizierungs- 
System (AFIS) wurde im Jahr 1993 ein- 
geführt. Es basiert auf der Codierung 
der anatomischen Merkmale (Minuti- 
en), die im Finger- und Handflächenab- 
druck abgebildet sind. Das System kann 
die Minutien automatisch erkennen und 
mit dem Code der abgespeicherten Fin- 
gerabdrücke und -spuren vergleichen. 
Seit 2003 werden im AFIS auch Hand- 
flächenabdrücke systematisch ausge- 
wertet. 

BKA-Präsident Holger Münch kündig- 
te 2017 an, dass Deutschland als erstes 
europäisches Land seine Fingerabdruck- 
Datenbank AFIS an das Schengener In- 
formationssystem SIS IT anschließt (s.o. 
7.2). Während dort bisher nur nach Per- 
sonennamen gefahndet werden konnte, 
ist dies nun auch mittels Fingerabdruck 
möglich. Deutschland arbeitet unter 
der Federführung Frankreichs an einem 
neuen Abfragesystem, das den Abruf 
von Fingerabdrücken und weiteren Bio- 
metrie-Daten nach dem Prümer Vertrag 
über ganz Europa hinweg vereinfacht 
(5.0. 7.5). 

Bei AFIS wird unterschieden zwischen 
einem Bestand AFIS-P, den das BKA auf 
Grund seiner originären Zuständigkeit 
im Bereich der Gefahrenabwehr und der 
Strafverfolgung speichert (s.u. 9.1), so- 
wie dem sich auf Ausländer beziehenden 
Bestand AFIS-A. Insofern ist das BKA ge- 
mäß 8 1 Abs. 3 AZRG in Amtshilfe tätig 
bei der Verarbeitung der Daten nach 8 16 
Abs. 15.1 AsylG und 8 49 AufenthG. In 
&1Abs. 35.2 AZRG heißt es: Sie werden 
dort getrennt von anderen erkennungs- 
dienstlichen Daten gespeichert. Entspre- 
chende Amtshilfevorschriften gibt es in 
8 16 Abs. 3, 3a, 4 AsylG und 8 89 Abs. 1 
AufenthG. Die Amtshilfeverpflichtung 
des BKA besteht im Asylverfahren bereits 
seit 1993 und wurde 2007 auf die Daten 
nach 8 49 AufenthG erweitert. 

Die Fingerabdrücke werden in der 
Fingerabdruckdatei AFIS-A mit ei- 
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ner recherchierbaren Referenznummer 
gespeichert, die auf die Identitätsprü- 
fungen nach 8 16 AsylG durch Aufnah- 
meeinrichtungen, Mobile Teams und 
Außenstellen des BAMF verweisen. Seit 
dem 25.10.2017 besteht insofern eine 
sog. AsylOnline-Schnittstelle bzw. zur 
Personengruppe nach 8 49 AufenthG 
eine sog. AZR-Erstregistrierungs- 
schnittstelle (AZR-ER-SST). 

Die Amtshilferegelungen erklären sich 
traditionell damit, dass die Auswertung 
von ED-Unterlagen und insbesondere 
von Fingerabdrücken für die Kriminali- 
tätsbekämpfung entwickelt worden ist 
und insofern das BKA die nötige Exper- 
tise vorweisen konnte. Inzwischen ist 
die Technik so weiterentwickelt, dass 
es anderen Stellen problemlos möglich 
wäre, diese Aufgaben selbst wahrzu- 
nehmen. Durch die weiterhin erfol- 
gende Einschaltung ist es dem BKA als 
Polizeibehörde leicht, die bei sich aus 
„Amtshilfegründen” gespeicherten Da- 
ten auch für eigene Zwecke zu nutzen. 

Der Begriff der Amtshilfe ist dem Da- 
tenschutzrecht fremd. Insofern wird nur 
zwischen Verantwortlichem (Art. 4Nr. 7, 
24, 26 DSGVO) und Auftragsverarbeiter 
(Art. 4Nr. 8, 28 DSGVO) unterschieden. 
Die Verarbeitung durch das BKA erfolgt 
vorrangig als Auftragsverarbeitung; 
Verantwortlicher isti.d.R. das BAMF als 
für das AZR und für die Verarbeitung im 
Asylverfahren verantwortliche Stelle. 
Verantwortlich kann bei einer Erhebung 
nach 8 48 AufenthG aber auch jede tätig 
werdende Ausländerbehörde werden. 

Die vorgesehene Trennung der aus- 
länderrechtlichen AFIS-Daten von an- 
deren erkennungsdienstlichen Daten 
hat keine erkennbare räumliche, orga- 
nisatorische oder funktionale Bedeu- 
tung. Es erfolgt zwischen AFIS-A (Aus- 
länder) und AFIS-P (Polizei) lediglich 
eine spezifische technische Markie- 
rung. Die gesetzlich vorgesehene Tren- 
nung gewährleistet nicht, dass das BKA 
für die Daten keine Nutzungsbefugnis 
für die eigenen Zwecke der Gefahren- 
abwehr und der Strafverfolgung hat. 
Diese Eigennutzung ist ausdrücklich 
gesetzlich erlaubt (8 15 Abs. 1S. 1Nr. 5 
AZRG, 8 89 Abs. 2 AufenthG, & 16 Abs. 5 
AsylG). Die Trennung ist damit keine 
von der DSGVO geforderte wirksame Ga- 
rantie bzw. technisch-organisatorische 
Sicherungsmaßnahme. 
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9 Sicherheitsbehörden 


Fingerabdrücke und Lichtbilder sind 
klassische Informationsgrundlagen 
für Sicherheitsbehörden. In jüngerer 
Zeit werden weitere biometrische Ver- 
fahren zur Identifizierung von Perso- 
nen, seien es Täter, Opfer oder Dritte, 
eingesetzt. 


9.1 Strafverfolgung und 
Gefahrenabwehr 


Der primäre Zweck biometrischer 
Identifizierung durch Sicherheitsbe- 
hörden ist die Strafverfolgung. Damit 
werden tatrelevante Spuren Personen 
zugeordnet, um Beteiligte, Zeugen und 
insbesondere Täter zu identifizieren. 
Die Methode wird „Erkennungsdienst” 
(ED) bezeichnet. Die gesetzliche Grund- 
lage hierfür findet sich in 8 81b StPO mit 
folgendem Wortlaut: 


Soweit es für die Zwecke der Durchfüh- 
rung des Strafverfahrens oder für die Zwe- 
cke des Erkennungsdienstes notwendig 
ist, dürfen Lichtbilder und Fingerabdrü- 
cke des Beschuldigten auch gegen seinen 
Willen aufgenommen und Messungen 
und ähnliche Maßnahmen an ihm vorge- 
nommen werden. 


Eine ED-Untersuchung von anderen 
Personen als Beschuldigten ist unter be- 
stimmten Voraussetzungen nach & 81c 
StPO möglich. Erkennungsdienstliche 
(ED-) Maßßnahmen sind auch nach 8 24 
Abs. 3 BPolG, nach 8 20e BKAG oder ge- 
mäß polizeirechtlichen Regelungen 
der Bundesländer zulässig. 

Die Fingerabdrücke von Beschuldig- 
ten eines Ermittlungsverfahrens werden 
bei Vorliegen der rechtlichen Vorausset- 
zungen dem BKA zwecks Speicherung 
im zentralen Fingerabdruckidentifizie- 
rungssystem (AFIS-P) übermittelt. Eine 
weitere Übermittlung durch das BKA 
erfolgt an Eurodac, wenn Art. 14 i.V.m. 
Art. 17 Eurodac-VO (illegaler Grenzüber- 
tritt/illegaler Aufenthalt) zum Tragen 
kommt und die erkennungsdienstlich 
behandelte Person älter als 14 Jahre ist, 
oder zum Zwecke der Gefahrenabwehr 
und Strafverfolgung (bei Vorliegen terro- 
ristischer oder sonstiger schwerer Straf- 
taten), und zusätzlich wenn vorher die 
Abfragen aller anderen nationalen und 


internationalen Dateien zu keiner Iden- 
tifizierung geführt haben. 

Die Identifizierung mit dem „geneti- 
schen Fingerabdruck” fand in den 90er 
Jahren Eingang ins Strafverfahren und 
wurde seitdem immer mehr ausgeweitet 
(88 81e-81 h StPO). Beim BKA wird eine 
DNA-Datenbank geführt. Mit dem baye- 
rischen Polizeiaufgabengesetz von 2018 
schaffte die DNA-Analyse zur Feststel- 
lung biologischer Merkmale (Farbe von 
Haar, Haut und Augen), des Alters sowie 
der biogeografischen Herkunft ihre ers- 
te gesetzliche Anerkennung im Bereich 
der Gefahrenabwehr. 2019 wurde die 
Methode zur Feststellung von Merkma- 
len und Alter auch in 8 81e Abs. 2 der 
Strafprozessordnung zu strafrechtli- 
chen Ermittlungen zugelassen. 

Im Strafvollzugsrecht ist ebenso die 
Vornahme von ED-Maßnahmen vorgese- 
hen und umfasst u.a. Finger- und Hand- 
flächenabdrücke, Lichtbilder sowie wei- 
tere äußere Merkmale und Messungen. 


9.2 Geheimdienste 


Die deutschen Geheimdienste, der 
Auslandsdienst BND (Bundesnach- 
richtendienst), der MAD (Militärischer 
Abschirmdienst), das Bundesamt für 
Verfassungsschutz (BfV) sowie die Lan- 
desbehörden für Verfassungsschutz 
betreiben das zunächst als analoge 
Datensammlung geführte und später 
digitalisierte Nachrichtendienstliche 
Informationssystem (NADIS). Es han- 
delt sich um eine Hinweisdatei, die der 
Identifizierung einer Person, Organisa- 
tion oder eines Sachverhaltes und dem 
Auffinden von Aktenfundstellen dient. 
Eine Speicherung im NADIS darf nur 
aufgrund derin den Verfassungsschutz- 
gesetzen definierten gesetzlichen Re- 
gelungen erfolgen. Diese Regelungen 
enthalten keine speziellen Aussagen 
zur Speicherung biometrischer Identi- 
fizierungsdaten. Dies schließt aber die 
Personenidentifizierung mit derartigen 
Merkmalen nicht aus. Bei der nachrich- 
tendienstlichen Tätigkeit spielt die bio- 
metrische Identifikation wohl eine ge- 
ringere Rolle als bei der Gefahrenabwehr 
und Strafverfolgung durch die Polizei. 

Die Nachrichtendienste können 
sich die Sammlung von Identifizie- 
rungsdaten anderer Behörden nutzbar 
machen. Dies gilt für Lichtbilder und 
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Fingerabdrücke des Ausländerzentral- 
registers, die automatisiert abgerufen 
werden dürfen (8 20, 22 Abs. 15. 1Nr. 9 
AZRG). Sie haben ebenso den automa- 
tisierten Zugriff auf die Lichtbilder der 
Pass- und das Personalausweisregister 
der Kommunen (8 22a Abs. 2 S. 4 PassG 
u. 8 25 Abs. 2 S. 4 PAuswG). Direkten 
Zugriff nehmen können die Nachrich- 
tendienste auch auf gemeinsame mit 
der Polizei geführten Datenbanken 
wie z.B. seit 2007 die Anti-Terror-Datei 
(ATD) oder seit 2012 die Rechtsextre- 
mismusdatei (RED). Gespeichert sind 
dort zu Personen aus den Bereichen Ter- 
rorismus oder Gewaltextremismus keine 
Fingerabdrücke, wohl aber biometrisch 
„besondere körperliche Merkmale“, 
Lichtbilder und Angaben zu Identitäts- 
papieren (88 2, 3 Abs. 1 Nr. 1a ATDG, 
88 2, 3 Abs. 1 Nr. 1a RED-G). Gemäß 
& 17 BKAG kann das Bundeskriminal- 
amt für die Dauer einer befristeten 
projektbezogenen Zusammenarbeit mit 
den Verfassungsschutzbehörden des 
Bundes und der Länder, dem MAD und 
dem BND (ebenso wie mit den Polizeibe- 
hörden des Bundes und der Länder und 
dem Zollkriminalamt) unter bestimmten 
Voraussetzungen gemeinsame Dateien 
errichten. Eine Einschränkung auf be- 
stimmte Daten erfolgt auf gesetzlicher 
Basis nicht. Regelungen zu Erhebung 
und Verarbeitung biometrischer Iden- 
tifizierungsdaten gibt es auch in den 
einschlägigen Geheimdienstgesetzen 
nicht; die Befugnis hierzu ist durch die 
Generalklauseln zur Datenverarbeitung 
abgedeckt (8 6 BNDG, 8 4 Abs. 1 MADG, 
& 10 BVerfSchG). 

Regelungen, die den Datenaus- 
tausch zwischen Polizei- und sonsti- 
gen Exekutivbehörden und Nachrich- 
tendiensten ermöglichen, müssen den 
Anforderungen der „hypothetischen 
Datenneuerhebung” genügen. Eine Ab- 
wägung zwischen dem Verarbeitungs- 
zwecke und der Eingriffstiefe für den 
Betroffenen muss in jedem Fall erfol- 
gen.? 


10 Anlasslose Erfassung (auch) 
von Deutschen 


Während die biometrische Identifizie- 
rung von Ausländern und insbesondere 
von Flüchtlingen weitgehend etabliert 
ist, ist die generelle anlassunabhän- 
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gige Erfassung bei Deutschen bzw. der 
Bevölkerung allgemein erst in jüngster 
Zeit etabliert worden. 


10.1 Registrierung der Bevölkerung 


Die Identitätssicherung der Bevölke- 
rung generell und damit also auch der 
deutschen Staatsangehörigen erfolgt 
über die kommunalen Melde-, Per- 
sonalausweis- und Passbehörden. 
Die Meldebehörden haben die in ihrem 
Zuständigkeitsbereich Wohnenden zu 
registrieren, um deren Identität und 
Wohnung feststellen und nachweisen 
zu können. Sie wirken bei der Durchfüh- 
rung von Aufgaben anderer Behörden 
oder sonstiger Stellen mit und übermit- 
teln Daten. Zu diesem Zweck führen sie 
Melderegister (& 2 BMG). In den dezent- 
ralen Melderegistern sind keine biomet- 
rischen Daten gespeichert. Gespeichert 
sind aber - neben anderen Identifizie- 
rungsdaten - u.a. nach 8 3 Abs. 1 BMG 


17. Ausstellungsbehörde, Ausstellungs- 
datum, letzter Tag der Gültigkeitsdauer 
und Seriennummer des Personalauswei- 
ses, vorläufigen Personalausweises oder 
Ersatz-Personalausweises, des anerkann- 
ten Passes oder Passersatzpapiers sowie 
Sperrkennwort und Sperrsumme des Per- 
sonalausweises, 

17a. die AZR-Nummer in den Fällen und 
nach Maßgabe des $ 10 Absatz 4 Satz 2 
Nummer 4 des AZR-Gesetzes. 


Damit wird eine Verbindung zur bio- 
metrischen Registrierung geschaffen: 
Innerhalb der Verwaltungseinheit, der 
die Meldebehörde angehört, dürfen 
alleing&3 Abs. 1 BMGaufgeführten Daten 
und Hinweise weitergegeben werden, 
soweit dies zur Aufgabenerfüllung der 
jeweiligen Stellen erforderlich ist (8 37 
BMG). Zur gleichen Verwaltungseinheit 
gehören die Personalausweis- und die 
Passbehörde sowie die dort geführten 
Personalausweis- und Passregister. 

Mit dem Registermodernisierungsge- 
setz ist geplant, registerübergreifend die 
bisherige Steuer-Identifizierungsnum- 
mer gemäß 8 139b der Abgabenordnung 
(Steuer-ID) als nationales Kennzeichen 
einzuführen.” Die Steuer-ID soll danach 
ins Melderegister aufgenommen werden 
(Art. 4, 83 Abs. 1 Nr. 8 BMG-E), ebenso 
wie in das Passregister (Art. 7,8 21Abs. 2 


Nr. 9a PassG), in das Personalausweisre- 
gister (Art. 8,8 23 Abs. 3Nr. 9a PAuswG- 
E) sowie in das Ausländerzentralregister 
(Art. 6, 8 3 Abs. 5 AZRG-E in Bezug auf 
Flüchtlinge). 


10.2 Pass- und Personalausweis- 
gesetz 


Das Lichtbild und Fingerabdrücke 
werden im Pass und im Personalaus- 
weis, die Lichtbilder auch im Passregis- 
ter und im Personalausweisregister 
gespeichert. Eine Speicherung der Fin- 
gerabdrücke von deutschen Staatsange- 
hörigen findet in diesen Datenbanken 
nicht statt. 

Die EU-Mitgliedstaaten stellen auf 
Basis der Verordnung (EG) 2252/2004 
des Rates vom 13.12.2004 über Normen 
für Sicherheitsmerkmale und biometri- 
sche Daten in von den Mitgliedstaaten 
ausgestellten Pässen und Reisedoku- 
menten, geändert durch Verordnung 
(EG) 444/2009 vom 28.05.2009, regu- 
läre Reisepässe mit Chip aus, welche 
das Lichtbild und zwei Fingerabdrücke 
enthalten. Die europäische Regelung 
im Jahr 2004 erfolgte auf politischen 
Druck der Regierung der USA, die mit 
dem Wegfall der Visumfreiheit für eu- 
ropäische Reisende drohte. Damit wer- 
den zwei konkrete Ziele verfolgt: 1. der 
Schutz vor Fälschung von Pässen und 
2. die Verhinderung der betrügerischen 
Verwendung von Pässen, d.h. deren 
Verwendung durch andere Personen als 
ihren rechtmäßigen Inhaber.”* Deutsch- 
land hat den elektronischen Reisepass 
zum 01.11.2005 und die Speicherung 
von Fingerabdrücken in Pässen zum 
01.11.2007 eingeführt.” 

Die Verordnung (EU) Nr. 2019/1157 
zur Erhöhung der Sicherheit der Perso- 
nalausweise von Unionsbürgern und 
der Aufenthaltsdokumente, die Uni- 
onsbürgern und deren Familienangehö- 
rigen ausgestellt werden, die ihr Recht 
auf Freizügigkeit ausüben (Perso-VO)?°, 
schafft zudem europaweit eine einheit- 
liche Rechtsgrundlage für nationale 
Personalausweise. Gespeichert werden 
zwei Fingerabdrücke der antragstel- 
lenden Person in Form des flachen Ab- 
drucks des linken und rechten Zeigefin- 
gers im elektronischen Speicher- und 
Verarbeitungsmedium des Personalaus- 
weises. 
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Personalausweise werden mit einem 
hochsicheren Speichermedium versehen, 
das ein Gesichtsbild des Personalausweis- 
inhabers und zwei Fingerabdrücke in in- 
teroperablen digitalen Formaten enthält. 
Bei der Erfassung der biometrischen Iden- 
tifikatoren wenden die Mitgliedstaaten die 
technischen Spezifikationen gemäß dem 
Durchführungsbeschluss der Kommission 
C(2018)7767 an (Art. 3 Abs. 5 Perso-VO). 
Gemäß Art. 3 Abs. 7 Perso-VO waren Kin- 
der unter 6 Jahren sowie Personen, bei 
denen eine Abnahme von Fingerabdrü- 
cken physisch nicht möglich ist, von der 
Abgabepflicht befreit, Kinder unter 12 
Jahren konnten bisher befreit werden. 

Das Personalausweisgesetz (PAuswG) 
regelt die Pflicht zum Mitführen des 
Ausweises und dessen Vorlage bei un- 
terschiedlichen Behörden und sonsti- 
gen Stellen (8 1 Abs. 15.1 PAuswG): 


Deutsche im Sinne des Artikels 116 
Abs. 1 des Grundgesetzes sind verpflichtet, 
einen gültigen Ausweis zu besitzen, sobald 
sie 16 Jahre alt sind und der allgemeinen 
Meldepflicht unterliegen oder, ohne ihr zu 
unterliegen, sich überwiegend in Deutsch- 
land aufhalten. Sie müssen ihn auf Ver- 
langen einer zur Feststellung der Identität 
berechtigten Behörde vorlegen und es ihr 
ermöglichen, ihr Gesicht mit dem Lichtbild 
des Ausweises abzugleichen. 


Bzgl. der Ein- und Ausreise ins bzw. 
aus dem Bundesgebiet besteht in & 1 
Abs. 1 PassG eine entsprechende Aus- 
weispflicht durch Vorlage eines Passes. 

Die im Chip gespeicherten biomet- 
rischen Daten sind nur mit einem ho- 
heitlichen Berechtigungszertifikat aus- 
lesbar, welches an explizit berechtigte 
Stellen ausgegeben wird. Die Daten sind 
durch kryptographische Maßnahmen 
(Extended Access Control) entsprechend 
den Vorgaben in der Technischen Richt- 
linie TR-03110 „Advanced Security Me- 
chanisms for Machine Readable Travel 
Documents” gegen unberechtigten Zu- 
griff geschützt.?”’ Gemäß Art. 11 Abs. 5 
VO (EU) 2019/1157 dürfen maschinen- 
lesbare Informationen nur gemäß dieser 
Verordnung oder dem nationalen Recht 
des ausstellenden Mitgliedsstaats auf- 
genommen werden. Erlaubt sind gemäß 
Art. 11 Abs. 6 VO (EU) 2019/1157 nur 
die Echtheitsprüfung des Dokuments 
und die Identitätsprüfung. 
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Die Aufnahme des Lichtbilds im Per- 
sonalausweis ist in $ 5 Abs. 2 Nr. 5 
PAuswG, im Passin 84 Abs. 1S. 1 PassG 
vorgesehen. Die Fingerabdrücke werden 
gemäß & 4 Abs. 4 PassG bzw. & 5 Abs. 9 
S. 2-4 PAuswG gespeichert: 


Die Fingerabdrücke werden in Form des 
flachen Abdrucks des linken und rechten 
Zeigefingers des Passbewerbers im elekt- 
ronischen Speichermedium des Passes ge- 
speichert. Bei Fehlen eines Zeigefingers, 
ungenügender Qualität des Fingerab- 
drucks oder Verletzungen der Fingerkup- 
pe wird ersatzweise der flache Abdruck 
entweder des Daumens, des Mittelfingers 
oder des Ringfingers gespeichert. Finger- 
abdrücke sind nicht zu speichern, wenn 
die Abnahme der Fingerabdrücke aus me- 
dizinischen Gründen, die nicht nur vorü- 
bergehender Art sind, unmöglich ist. 


Bild: iStock.com/Blue Planet Studio 


In 8 26 Abs. 2 PAuswG bzw. 8 16 Abs. 2 
S. 3 PassG ist geregelt, dass die bei der 
Passbehörde gespeicherten Fingerab- 
drücke spätestens nach Aushändigung 
des Personalausweises bzw. des Passes 
gelöscht werden müssen. 

Das Passregister und das Personal- 
ausweisregister ist in den 88 21 ff. 
PassG und den 88 23 ff. PAuswG geregelt. 
In 8 21 Abs. 2 PassG sowie & 23 Abs. 3 
PAuswG ist vorgesehen, dass neben 
textlichen Angaben das Passregister 
sowie das Personalausweisregister ein 


Lichtbild enthalten darf. 

Gemäß 8 22a Abs. 28. 1-5 PassG u. 8 25 
Abs. 2 S. 1-4 PAuswG haben die Berech- 
tigung für den automatisierten Abruf 
des Lichtbildes aus dem Pass- bzw. dem 
Personalausweisregister Behörden zur 
Verfolgung von Verkehrsordnungswid- 
rigkeiten sowie generell zur Aufgaben- 
erfüllung: die Polizeibehörden des Bundes 
und der Länder, der Militärische Abschirm- 
dienst, der Bundesnachrichtendienst, die 
Verfassungsschutzbehörden des Bundes 
und der Länder, Steuerfahndungsdienst- 
stellen der Länder, der Zollfahndungs- 
dienst und die Hauptzollämter. 

Die Zugriffsmöglichkeit von Ge- 
heimdiensten auf die Lichtbilddaten 
wurde 2017 eingeführt. ?® 


11 Abschließende Bewertung 


Eine umfassende Bewertung der be- 
stehenden vorstehend dargestellten 
Regelungen auf europäischer und nati- 
onaler Ebene und der Praxis aus Grund- 
rechtssicht ist im Rahmen der hier erfol- 
genden Darstellung nicht möglich. Fol- 
gende grundsätzliche Kritiken lassen 
sich jedoch festhalten: 


1. Für die eindeutige Identifizierung mit 
Hilfe von Fingerabdruckdaten würde 
der Abdruck eines Fingers genügen. 
Die Verpflichtung zur Speicherung 
von 2 Fingerabdrücken bei EU-Bür- 
gern und 10 bei Flüchtlingen verstößt 
gegen den Grundsatz der Datenmini- 
mierung. 

2.Die generelle Erlaubnis zur Datennut- 
zung für Sicherheitszwecke bei Daten 
von Flüchtlingen verstößt gegen den 
Zweckbindungsgrundsatz. 

3.Das in der Praxis bestehende unbe- 
grenzte Zugriffsrecht für Geheim- 
dienste auf Daten von Deutschen und 
insbesondere von Flüchtlingen ist ab- 
solut unverhältnismäßig. 

4.Die automatisierte Gesichtserken- 
nung im öffentlichen Raum muss 
auch künftig unterbleiben. 

5.Die Transparenz der Nutzung biome- 
trischer Identifizierungsdaten muss 
verbessert werden. 


Um eine qualifizierte juristische Be- 
wertung insbesondere gemäß dem Ver- 
hältnismäßigkeitsgrundsatz vorneh- 
men zu können, bedürfte es zunächst 
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einer Bestandsaufnahme, in welchem 
Umfang biometrische Identifizierungs- 
daten in welcher Art und Weise insbe- 
sondere für Sicherheitszwecke genutzt 
werden und welche Wirkungen dies für 
die Sicherheit wie für die Rechte der 
Betroffenen zur Folge hat. Auf der Basis 
einer solchen Evaluation der Regelun- 
gen und deren Anwendung ist dann in 
einem weiteren Schritt eine Überarbei- 
tung der geltenden Bestimmungen un- 
ter Berücksichtigung der Grundsätze 
der Zweckbindung, der Transparenz und 
der Verhältnismäßigkeit nötig. 

Welche praktischen Auswirkungen 
sich aus einer normativ nicht eingeheg- 
ten Nutzung biometrischer Identifizie- 
rungsdaten ergeben können, demons- 
trieren uns Überwachungsstaaten wie 
z.B. China, in denen die biometrische 
Identifizierung als zentrales Werkzeug 
zur Unterdrückung und zur Diskriminie- 
rung genutzt wird. Wollen wir Zustände 
wie in China vermeiden, so muss der 
demokratische Diskussionsprozess 
über die Nutzung biometrischer Identi- 
fizierung generell wie insbesondere für 
staatliche Zwecke intensiviert werden. 
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Susanne Holzgraefe 


Stempeluhren mit Fingerabdruck-Scanner 


Stempeluhren sind umstritten. 
Manchmal wünschen sich Beschäftigte 
Stempeluhren bzw. eine genauere Ar- 
beitszeiterfassung, doch der Arbeitge- 
ber oder die Arbeitgeberin ist dagegen. 
Manchmal ist es umgekehrt. 

Der Einsatz von Stempeluhren ist eine 
Verhandlungssache, beruhend auf in- 
dividuell zwischen Beschäftigten und 
Arbeitergeberin bzw. Arbeitgeber ver- 
traglich vereinbarten Anwesenheitszei- 
ten. Gemessen werden darf nur die An- 
wesenheitszeit und nicht die effektive 
Arbeitszeit. 

Steht die Erledigung von Aufgaben 
zu bestimmten Terminen und nicht 
die Präsenz zu bestimmten Zeiten im 
Vordergrund, so wird i.d.R. Vertrau- 
ensarbeitszeit vereinbart. Genaue 
Festlegungen der Anwesenheitszeit 
seitens der Arbeitgeberin sind dann 
nicht zielführend. Doch auch Be- 
schäftigte mit Vertrauensarbeitszeit 
sind gut beraten die tatsächlich auf- 
gewendete, effektive Zeit zur Erledi- 
gung der Aufgabe zur Selbstkontrolle 
zu erfassen. Die Aufzeichnungen kön- 
nen zur Verhandlungsgrundlage kom- 
mender Deadlines oder für Gehalts- 
erhöhungen dienlich sein. Darüber 
hinaus helfen sie frühzeitig zu erken- 
nen, dass Deadlines nicht eingehalten 
werden können. 

Ist vertraglich eine Anwesenheits- 
pflicht vereinbart, so ist eine präzise 
Erfassung der Anwesenheitsdauer nö- 
tig. Dies ist dann angesagt, wenn Be- 
schäftigte unabhängig vom konkreten 
Arbeitsanfall anwesend sein sollen. 
Pförtner, Wachpersonal, Empfangsda- 
men oder auch Verkaufs- und Gastrono- 
miepersonal können nicht einfach nach 
Hause gehen, wenn es für eine gewisse 
Zeit nichts zu tun gibt. 

Bei einer Vielzahl von Arbeitsstellen 
ist eine zeitlich festgelegte Anwesen- 
heitspflicht unumgänglich. In jedem 
Fall bleibt die Arbeits- und Anwesen- 
heitszeit Verhandlungssache. Die ver- 
bindliche Festlegung erfolgt einver- 
nehmlich im Arbeitsvertrag. 
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Der EuGH prescht vor 


Am 14. Mai 2019 entschied der Euro- 
päische Gerichtshof (EuGH), dass die ge- 
samte Arbeitszeit erfasst werden muss. 
Es genügt nicht, wie in Deutschland 
bisher vorgeschrieben, nur die Mehrar- 
beit bzw. Überstunden! täglich präzise 
zu erfassen’. Arbeitgeberinnen sollen 
hierfür ein objektives, verlässliches und 
zugängliches System einrichten, mit 
dem die tägliche Arbeitszeit jeder Ar- 
beitnehmerin und jedes Arbeitnehmers 
gemessen werden kann. Wie ein solches 
System aussehen soll, wurde aber vom 
Gericht nicht weiter definiert, so dass 
ein großer Gestaltungsspielraum für die 
Arbeitgeberinnen bleibt. 


Was ist bei der Zeiterfassung zu 
beachten? 


Generell sollte die Erfassung der Ar- 
beitszeit so gestaltet sein, dass sie nicht 
zur Leistungskontrolle bzw. Leistungs- 
überwachung verwendet werden kann. 
Sie sollte sich auf die Erfassung der 
Anwesenheitszeit inkl. Pausenzeiten 
beschränken, soweit diese nicht gesetz- 
lich vorgeschrieben bzw. vertraglich 
vereinbart sind. Außer der Einhaltung 
der vertraglich vereinbarten Anwesen- 
heitspflichten sollte sich aus der Erfas- 
sung erkennen lassen, dass gesetzlich 
vorgeschriebene Ruhezeiten, gesetz- 
lich vorgeschriebene maximale tägli- 
che bzw. wöchentliche Arbeitszeiten 
sowie weitere gesetzliche Vorgaben zu 
Arbeitszeit, Mindestlohn und Arbeits- 
schutz eingehalten werden. 

Die Daten müssen zwei Jahre aufbe- 
wahrt werden. Das bedeutet, dass sie 
nach zwei Jahren unwiderruflich ge- 
löscht werden müssen. 


Mitspracherecht Betriebsrat und 
Datenschutz 


Beschäftigte haben ein Mitwir- 
kungs-*, der Betriebsrat (sofern vor- 
handen) ein Mitspracherecht, wenn es 


um die Einrichtung und Verwendung 
eines Stempeluhrsystems geht.‘ Vor 
dem Einsatz sollte in jedem Fall (sofern 
vorhanden) auch die betriebliche Da- 
tenschutzbeauftragte zu Rate gezogen 
werden. Da es sich um die Einführung 
eines neuen Systems handelt, kann 
eine Datenschutz-Folgenabschätzung 
erforderlich sein. 

Es sollte ausgeschlossen werden, dass 
das System zur Leistungskontrolle oder 
Leistungsüberwachung genutzt werden 
kann. Des Weiteren sind bei dem Einsatz 
eines Stempeluhrsystems unter ande- 
rem die folgenden Punkte zu beachten: 


« DerZeiterfassungsprozess mussin das 
Verzeichnis der Verarbeitungstätig- 
keiten aufgenommen werden. 

« Von einer Speicherung außerhalb der 

EU ist abzuraten. 

Es müssen technische Maßnahmen 

ergriffen werden, die eine (unabsicht- 

liche) Weitergabe an Dritte und Dritt- 
länder ausschließen. 

Alle Beschäftigten sollten in klar ver- 

ständlicher Art und Weise (Art. 12 

DSGVO) transparent entsprechend 

Art. 13 DSGVO über die Verarbeitung 

mit dem neuen System informiert 

werden. 

Es ist genau festzulegen, wer die Da- 

ten einsehen und verarbeiten darf. 

Beschäftigte sollten ihre Daten jeder- 

zeit selbst einsehen bzw. Kopien der 

Daten erhalten können. 

Sofern die Zeiterfassung durch ein ex- 

ternes Unternehmen verarbeitet wird, 

ist ein Auftragsverarbeitungsvertrag 
abzuschließen. 


Stempeluhren mit Fingerabdruck- 
Scanner 


Nehmen wir folgenden Sachverhalt 
an: Nach einiger Diskussion einigen 
sich Betriebsrat und Arbeitgeberin 
auf den Einsatz von Stempeluhren mit 
Fingerabdruck-Scanner. Der Vorschlag 
kam in diesem Fall vom Betriebsrat. 
Der Hersteller des Systems weist aus- 
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drücklich darauf hin, dass das System 
datenschutzunbedenklich sei. 

Alle verlassen gut gelaunt die Sitzung 
und freuen sich schon auf die neuen 
Stempeluhren. Doch die betriebliche 
Datenschutzbeauftragte hat arge Be- 
denken: Fingerabdrücke zählen zu den 
biometrischen Daten und gehören da- 
mit zu einer besonderen Kategorie per- 
sonenbezogener Daten, deren Erfassung 
und Verarbeitung gemäß Art. 9 DSGVO 
grundsätzlich untersagt ist. Ausnahme: 
Die betroffene Person hat hier explizit 
freiwillig eingewilligt. 

Hier hat der Betriebsrat, der ja die 
Beschäftigten in Gänze vertritt, zuge- 
stimmt. Darf ein Betriebsrat überhaupt 
so einfach der Verarbeitung von Daten 
aus den besonderen Kategorien ent- 
sprechend Art. 9 DSGVO zustimmen? 
Der Betriebsrat hat darüber zu wachen, 
dass BDSG, DSGVO und andere Gesetze 
und Verordnungen zum Datenschutz 
eingehalten werden (8 80 Abs. 1Nr. 1 
BetrVG). Sofern gegen die Gesetze und 
Verordnungen des Datenschutzes ver- 
stoßen wird, würde die Zustimmung 
des Betriebsrats seinen in $ 80 BetrVG 
festgelegten Aufgaben widersprechen. 

Wenn jeder einzelne Beschäftig- 
te freiwillig einwilligen würde, wäre 
der Einsatz des Systems zulässig. Ob 
Freiwilligkeit bei abhängig Beschäf- 
tigten gegeben ist, ist immer fraglich. 
Die Abhängigkeit zur Arbeitgeberin 
bzw. zum Arbeitgeber und der soziale 
Druck der Gemeinschaft stehen einer 
Freiwilligkeit häufig im Wege. Im Fall 
von Stempeluhren stellt sich bei einem 
Einsatz mit Erlaubnis durch Einwilli- 
gung die Frage: Was passiert, wenn 
eine Person nicht einwilligt? Was pas- 
siert, wenn eine Person die Einwilli- 
gung widerruft? 
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Um dem EuGH-Urteil gerecht zu wer- 
den und die komplette Anwesenheits- 
zeit zu erfassen, müsste hier ein paral- 
leles Zeiterfassungssystem eingeführt 
werden, das die Identifizierung auf ei- 
nem milderen Weg ermöglicht. 

Ist es wirtschaftlich, zwei Systeme 
parallel zu fahren? Warum nicht gleich 
für alle ein System einführen, das mil- 
dere Mittel verwendet? Immerhin ist 
ein Grundsatz des Datenschutzes, dass 
stets das mildeste Mittel einzusetzen 
ist. 


Warum wirbt der Hersteller mit Daten- 
schutz-Unbedenklichkeit? 


Das System verarbeitet laut Her- 
stellerdokumenten nicht den ganzen 
Fingerabdruck, sondern lediglich Fin- 
gerlinienverzweigungen (Minutien). 
Die Datenschutzbeauftragte teilt die 
Auffassung des Herstellers nicht. In ih- 
ren Augen sind auch Minutien biome- 
trische Informationen. Es bleibt Tatsa- 
che, dass hier eine Identifizierung über 
biometrische Daten erfolgt. Ein Urteil 
des Landesarbeitsgerichts (LAG) Ber- 
lin-Brandenburg zeigt, dass die Daten- 
schutzbeauftragte mit ihrer Auffassung 
nicht alleine ist. 


Urteil des LAG Berlin-Brandenburg 


Eine Arbeitgeberin aus dem Raum 
Berlin-Brandenburg setzte ein Stempel- 
uhr-System mit Fingerabdruckscanner 
ein. Einer der Beschäftigten war damit 
nicht einverstanden und verweigerte 
die Nutzung der Stempeluhr. Es kam 
zur Abmahnung und der Angestellte 
brachte den Fall vor das Arbeitsgericht. 
Das hier eingesetzte System verarbei- 
tet nicht den gesamten Fingerabdruck, 
sondern lediglich die Minutien. 

Das LAG Berlin-Brandenburg bestä- 
tigte die Auffassung des Angestell- 
ten, dass er nicht verpflichtet werden 
kann, die Stempeluhr zu nutzen.’ Das 
Gericht begründet die Entscheidung 
damit, dass Minutien durchaus bio- 
metrische Daten sind, die unter Art. 9 
DSGVO fallen, und somit die Verarbei- 
tung zur Identifizierung ausdrücklich 
untersagt ist. Die Richter konnten 
nicht erkennen, dass für die Arbeits- 
zeiterfassung zwingend biometrische 
Daten erforderlich sind. 


Fazit 


Das LAG Berlin-Brandenburg hält 
Stempeluhren mit Fingerabdruck-Scan- 
ner für nicht zulässig. Das Gericht be- 
gründet die Entscheidung damit, dass, 
selbst wenn nur Teile eines Fingerab- 
drucks zur Identifizierung verarbeitet 
werden, es sich trotzdem um biometri- 
sche Daten handelt, deren Verarbeitung 
nach Art. 9 DSGVO explizit untersagt ist. 
Darüber hinaus sieht das Gericht nicht, 
dass für eine Arbeitszeiterfassung un- 
bedingt biometrische Daten zur Identi- 
fizierung erforderlich sind. 

Aus dem Urteil lässt sich schließen, 
dass nicht nur Stempeluhren mit Fin- 
gerabdruck-Scanner unzulässig sind, 
sondern auch Systeme, welche die 
Identifizierung mit anderen biometri- 
schen Daten wie Gesichtserkennung, 
Retina-Scanner usw. vornehmen. 

Ein Stempeluhrsystem mit Fingerab- 
druckscanner für Beschäftigte ist zu- 
lässig, wenn jeder einzelne Beschäftigte 
explizit freiwillig in die Verarbeitung 
einwilligt. In einem abhängigen Be- 
schäftigungsverhältnis ist die Sicher- 
stellung der Freiwilligkeit schwierig. 
Um dem EuGH-Urteil gerecht zu werden, 
muss für Personen, dieihre Einwilligung 
verweigern, ein milderes System bereit- 
gestellt werden. 

Es gibt eine Vielzahl von Angebo- 
ten von Stempeluhr-Systemen auf dem 
Markt, die zur Identifizierung ein mil- 
deres Mittel als den Abgleich biometri- 
scher Daten nutzen, um die Anwesen- 
heitszeit von Beschäftigten objektiv 
und verlässlich zu erfassen, z.B. durch 
Verwendung von Betriebsausweisen. 
Eine Identifizierung über biometrische 
Daten im Rahmen der Arbeitszeiterfas- 
sung ist nicht notwendig. 


1 Rechtliche Grundlage für Arbeitszeit- 
nachweis für Mehrarbeit bzw. Überstun- 
den ist 816 Abs. 2 ArbZG 


2 EuGHUrteil zur Arbeitszeiterfassung 
vom 14. Mai 2019 mit Aktenzeichen 
C-55/18 


3 Die Mitbestimmungsrechte Beschäftigter 
ergeben sich aus den 88 81-84 BetrVG 


4 Die Mitbestimmung des Betriebsrates 
ergibt sich aus 8 87 BetrVG 


5 Urteil des LAG Berlin-Brandenburg vom 
04.06.2020 mit Aktenzeichen 10 Sa 
2130/19 
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Widerstand gegen Entschlüsselungspläne des EU-Rats 


Am 14.12.2020 beschloss der Rat der 
EU unter dem Vorsitz Deutschlands eine 
Resolution zur Verschlüsselung „Sicher- 
heit durch Verschlüsselung und Sicher- 
heit trotz Verschlüsselung” 
https://data.consilium.europa.eu/ 
doc/document/ST-13084-2020-REV-1/ 
de/pdf 

Darin fordert der Rat u.a. die „Her- 
stellung des richtigen Gleichge- 
wichts”, wozu gehört, dass es für die 
Sicherheitsbehörden äußerst wichtig 
sei, „die Möglichkeit aufrechtzuerhal- 
ten, über einen rechtmäßigen Zugang 
zu Daten für legitime und klar definier- 
te Zwecke im Rahmen der Bekämpfung 
schwerer und/oder organisierter Kri- 
minalität und Terrorismus - auch in 
der digitalen Welt - zu verfügen, und 
die Rechtsstaatlichkeit zu wahren. Bei 
allen Maßnahmen müssen diese Inte- 
ressen sorgfältig gegen die Grundsät- 
ze der Notwendigkeit, Verhältnismä- 
Rigkeit und Subsidiarität abgewogen 
werden“. Dafür bedürfe es einer „Bün- 
delung der Kräfte mit der Technolo- 
giebranche”: „Die zuständigen Behör- 
den müssen unter uneingeschränkter 
Achtung der Grundrechte und der ein- 
schlägigen Datenschutzgesetze recht- 
mäßig und gezielt auf Daten zugreifen 
können und gleichzeitig die Cybersi- 
cherheit wahren.” 


Hierzu erklärte das Netzwerk Daten- 
schutzexpertise: 

Der Rat der EU, also die Regierungen 
der EU-Mitgliedsstaaten, fasst eine 
Entschließung, wonach Kommunika- 
tionsdienste mit einer Ende-zu-Ende- 
Verschlüsselung, die zunehmend von 
Betreibern für Jedermann angeboten 
wird, verpflichtet werden sollen tech- 
nische Lösungen zum Entschlüsseln 
durch Polizei und Geheimdienste bereit 
zu halten und auf Nachfrage herauszu- 
rücken. Die Ratsentschließung versucht 
die Aufregung nach den aktuellen terro- 
ristischen Anschlägen zu nutzen, um 
Sicherheitsbehörden den Zugriff auf 
technisch gesicherte Kommunikation 
zu verschaffen. Das Netzwerk Daten- 
schutzexpertise weist darauf hin, dass 
die Pflicht zum Bereithalten eines Gene- 
ralschlüssels zum Mitlesen gesicherter 
Kommunikation verfassungs- und euro- 
parechtswidrig wäre. 

Angesichts der Bedeutung elektro- 
nischer Kommunikation und der Ge- 
fahren vor einer Ausspähung dieser 
Kommunikation durch Kriminelle oder 
ausländische Geheimdienste, von der 
US-amerikanischen NSA über den bri- 
tischen GCHQ bis hin zu chinesischen, 
russischen oder sonstigen Diensten 
totalitärer Staaten, hat die Möglich- 
keit zum Selbstschutz fundamentale 


#PrivacyIsNotACrime 


Folgende Organisationen unterstüt- 
zen die nachfolgend abgedruckte Stel- 
lungnahme zu der Rats-Initiative: Bits 
und Bäume Dresden, Digitalcourage, 
Hochschulpiraten Dresden, Komitee für 
Grundrechte und Demokratie, Labour- 
Net Germany, Partei der Humanisten, 
Piratenpartei Deutschland, SaveTheln- 
ternet, SUMA-EV 

Der EU-Ministerrat hat einen raschen 
Vorstoß unternommen, in dem er Zu- 
griff auf jegliche Kommunikation, auch 
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verschlüsselte, zur besseren Aufklä- 
rung von Straftaten fordert. Konkret 
bedeutet dies, dass beim Einsatz von 
Verschlüsselungstechnologie, wie sie 
etwa WhatsApp und Signal anbieten, 
Generalschlüssel bereitgehalten werden 
müssen, mit denen jegliche Kommu- 
nikation der Nutzenden entschlüsselt 
werden kann. 

Die Privatsphäre der Bevölkerung soll 
zur angeblichen Terrorbekämpfung ge- 
opfert werden, dabei sind die Anschläge 


Bedeutung zur Wahrung des Telekom- 
munikationsgeheimnisses und des 
Datenschutzes. Die Pflicht zur Bereit- 
stellung von Zugängen für Sicherheits- 
behörden hätte zur Folge, dass dieser 
Selbstschutz nicht mehr möglich wäre. 
Es kann nicht gewährleistet werden, 
dass die Entschlüsselung nur unter 
rechtsstaatlicher Kontrolle zum Einsatz 
kommt. Digitale Grundrechte drohen 
mit einer solchen Maßnahme zum To- 
talverlust zu werden. 

Bürger und Unternehmen hätten kaum 
noch eine realistische Chance, priva- 
te oder wirtschaftliche Geheimnisse zu 
schützen. Der Versuch der Wiederbele- 
bung des seit über 20 Jahren mauseto- 
ten „Kanther-Schlüssels” brächte keinen 
Schutz, sondern nur Unsicherheit. 

Eine Eignung dieser Maßnahme zur 
Bekämpfung des Terrorismus oder sons- 
tiger schwerer Kriminalität besteht 
nicht. Kriminelle und Terroristen wären 
in der Lage, sich Verschlüsselung ohne 
Hintertüren zu beschaffen; Freiwild 
würden die rechtschaffenen Menschen, 
denen der Schutz ihrer Privatsphäre von 
Bedeutung ist. Freiwild würden auch die 
Oppositionellen, die in totalitären Staa- 
ten mithilfe dieser Technik eine Chance 
haben, geschützt miteinander zu kom- 
munizieren. Die Pläne gehören wieder 
auf den Müllhaufen der Geschichte. 


der Vergangenheit durch Fehler in der 
Polizeiarbeit erst möglich geworden. 
Verschlüsselung ist eine elementare 
Technologie im Internet, denn sie er- 
möglicht es Daten vor dem unbefugten 
Zugriff zu schützen, sei es durch Ge- 
heimdienste, Mitbewerber-innen oder 
Kriminelle. Im Fall von Reporter-innen, 
Menschenrechtsaktivist'innen oder 
Whistleblowern kann deren Arbeit oder 
Leben von Verschlüsselung abhängen. 
Das Einführen von Generalschlüsseln 
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stellt ein enormes Sicherheitsrisiko dar, 
da diese von allen verwendet werden 
können, die Zugriff auf sie haben. Eine 
derart geschwächte Verschlüsselung 
wäre damit de facto wertlos. Ein Ver- 
bot sicherer Verschlüsselung ließe sich 
außerdem von versierten Akteur-innen 


umgehen, indem vorhandene, sichere 
Verschlüsselungstechnik auf privaten 
Diensten genutzt wird. 

Wir fordern daher einen sofortigen 
Stopp der Verhandlungen auf europä- 
ischer Ebene. Vorhandene Befugnisse 
die das Umgehen von Verschlüsselun- 


gen ermöglichen, wie etwa Staatstroja- 
ner, müssen EU-weit untersagt werden. 
Weiter fordern wir eine europäische Ini- 
tiative für ein Grundrecht auf Verschlüs- 
selung. 

Weitere Infos unter: 
https://privacyisnotacrime.eu/de 


Gemeinsame Pressemitteilung der Bürgerrechtsorganisation Humanistische 
Union mit weiteren NGOs vom 23.11.2020 


Verfassungsbeschwerde gegen Trojaner-Einsatz durch 

Verfassungsschutz und Predictive-Policing-Befugnisse 
der Polizei in Hamburg 
GFF bereitet mit Klage auch Vorgehen gegen Änderung des Artikel 10-Gesetzes auf 


Bundesebene vor 


Der Hamburger Verfassungsschutz 
und die Polizei verfügen seit April 2020 
über scharfe Überwachungsinstrumen- 
te: Der Verfassungsschutz darf mit Tro- 
janern verschlüsselte Kommunikation 
ausforschen, die Polizei mittels Algo- 
rithmen Personenprofile erstellen. Die 
Humanistische Union, die Gesellschaft 
für Freiheitsrechte e.V. (GFF) und wei- 
tere NGOs erheben heute Verfassungs- 
beschwerde gegen die entsprechenden 
Gesetzesänderungen. „Angesichts der 
umstrittenen Überwachungspraxis von 
Geheimdiensten und wiederkehrender 
Polizei-Skandale sind neue Befugnisse 
für diese Behörden höchst bedenklich. 
Wie diese Befugnisse in Hamburg ge- 
regelt sind, ist darüber hinaus verfas- 
sungswidrig“, sagt Bijan Moini, Jurist 
und Verfahrenskoordinator bei der GFF. 


Geheimdiensttrojaner verletzt 
Grundrechte 


Seit einer Änderung des Hamburgi- 
schen Verfassungsschutzgesetzes im 
April 2020 darf sich das Hamburger Amt 
für Verfassungsschutz ohne Gerichtsbe- 
schluss oder ähnliche Vorab-Kontrolle 
in Geräte bestimmter Personen hacken 
(8 8 Abs. 12). Das verletzt Betroffene in 
ihrem IT-Grundrecht (Recht auf Gewähr- 
leistung der Integrität und Vertraulich- 
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keit informationstechnischer Systeme) 
und es verletzt ihr Telekommunikati- 
onsgeheimnis. Zudem gefährdet der 
Geheimdiensttrojaner die vertrauliche 
Kommunikation von Berufsgeheim- 
nisträgern wie Anwält*innen und 
Journalist*innen und verletzt damit 
insbesondere die Pressefreiheit. „Mit 
dem Geheimdiensttrojaner sind nun 
selbst verschlüsselte Nachrichten nicht 
mehr sicher”, sagt Sebastian Friedrich, 
einer der Kläger*innen. „Das erschwert 
meine Arbeit ungemein: Es ist mir kaum 
möglich, wegen einer kurzen Nachfra- 
ge einmal quer durch Deutschland zu 
fahren, um mit meinem Kontakt face- 
to-face zu reden.” Friedrich arbeitet als 
freier Journalist u.a. für den NDR und 
recherchierte in der Vergangenheit zur 
militanten Rechten und zum Rechtster- 
rorismus. Viele seiner Informant*innen 
brauchen besonderen Schutz. 


Hamburger Regelungen zum Troja- 
ner-Einsatz sind verfassungswidrig 


Trojaner in Händen von Geheimdiens- 
ten sind verfassungswidrig, wenn ihr 
Einsatz nicht hinreichend begrenzt ist 
und der Staat Sicherheitslücken in IT- 
Systemen ausnutzt, statt sie den Betrei- 
bern zu melden. All das ist in Hamburg 
der Fall. Zudem urteilte das Bundes- 


verfassungsgericht nach einer Verfas- 
sungsbeschwerde der GFF gegen die 
Auslandsüberwachung durch den Bun- 
desnachrichtendienst im Mai 2020, dass 
die heimliche Überwachung bestimm- 
ter Personen einer gerichtsähnlichen 
Vorab-Kontrolle unterliegen muss. „In 
Hamburg werden die Überwachungs- 
befugnisse deutlich erweitert ohne das 
Kontrollregime zu verbessern - damit ist 
der Verfassungsverstoß programmiert“, 
sagt Moini. 


Hamburger „Predictive Policing”- 
Ansatz ist verfassungswidrig 


Die Verfassungsbeschwerde richtet 
sich außerdem gegen die automati- 
sierte Auswertung von Daten durch 
die Hamburgische Polizei ($ 49 Hmb- 
PolDVG). Die Polizei darf automatisierte 
Personenprofile aus einer nicht näher 
bestimmten Menge an Daten erstellen, 
darunter ggf. auch öffentlich verfügba- 
re Daten aus sozialen Netzwerken. Es ist 
unklar, von wem Profile angefertigt wer- 
den können und welche Konsequenzen 
etwaiger „Beifang” für die Betroffenen 
hat, also die Erfassung von Personen, 
die selbst nicht als gefährlich gelten. 
Unklar ist auch, für welche Zwecke ge- 
nau Software eingesetzt werden kann 
und wie lange die Profile gespeichert 
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werden. In Hamburg soll dadurch die 
vorbeugende Verbrechensbekämpfung 
(„Predictive Policing”) Einzug halten 
- allerdings unter Verletzung der Gren- 
zen, die das Bundesverfassungsgericht 
der weniger eingriffsintensiven Raster- 
fahndung gesetzt hat. 


Bund will Nachrichtendienste 
deutschlandweit mit Trojanern aus- 
statten 


Die Verfassungsbeschwerde steht 
in einem bundespolitischen Zusam- 
menhang: Die Große Koalition will das 
Artikel 10-Gesetz kurzfristig ändern 


und alle Verfassungsschutzbehörden 
sowie weitere Nachrichtendienste mit 
Trojanern ausstatten. Die Reformplä- 
ne leiden an den gleichen Mängeln wie 
das Hamburgische Verfassungsschutz- 
gesetz. „Unsere Beschwerde gegen das 
Hamburger Gesetz ist ein Musterverfah- 
ren für die Reform auf Bundesebene: Wir 
wollen die mit dem Geheimdiensttroja- 
ner verbundenen Grundsatzfragen früh- 
zeitig durch das Bundesverfassungsge- 
richt klären lassen”, sagt Moini. 

Die GFF koordiniert die Verfassungs- 
beschwerde. Initiiert wurde und unter- 
stützt wird sie von der Humanistischen 
Union Hamburg, den Kritischen Jura- 


studierenden Hamburg, der Vereinigung 
Demokratischer Juristinnen und Juris- 
ten und der Deutschen Journalistin- 
nen- und Journalisten-Union (dju). Zu 
den Kläger*innen zählen die Rechtsan- 
wältin Britta Eder sowie Aktivist*innen 
und Journalist*innen, darunter Sebas- 
tian Friedrich (NDR u.a.) und Katharina 
Schipkowski (taz). Sie werden vertreten 
durch Jun.-Prof. Dr. Sebastian Golla 
(Ruhr-Universität Bochum). 

Weitere Informationen zur Verfas- 
sungsbeschwerde finden Sie unter: 
https:/ /freiheitsrechte.org/ 
verfassungsbeschwerde-polizei- 
verfassungsschutzgesetz-hh 


Pressemitteilung des Landesbeauftragten für den Datenschutz und 
die Informationsfreiheit Rheinland-Pfalz vom 07.12.2020 


Souveränität der Versicherten bei der elektroni- 
schen Patientenakte bewahren und Gesundheitsdaten 
konsequent schützen - Kugelmann appelliert an 
Krankenkassen und Gesetzgeber 


Die Digitalisierung im Gesundheits- 
wesen schreitet immer schneller voran. 
Die Bundesregierung forciert den zuvor 
jahrelang nur schleppend vorangekom- 
menen Prozess der digitalen Transfor- 
mation des deutschen Gesundheitswe- 
sens durch zahlreiche Gesetzgebungs- 
vorhaben. Nachdem erst im Oktober 
2020 das Patienten-Datenschutzgesetz 
(PDSG) in Kraft getreten ist, hat das 
Bundesgesundheitsministerium Mitte 
November bereits den nächsten Entwurf 
vorgelegt, diesmal für ein „Gesetz zur 
digitalen Modernisierung von Versor- 
gung und Pflege“, kurz DVPMG genannt. 
Aus der Perspektive des Datenschutzes 
ist der digitale Umbau des Gesundheits- 
systems in Deutschland zu begrüßen, 
sofern auch in der digitalen Versorgung 
die Souveränität der Versicherten hin- 
sichtlich der Verarbeitung ihrer Daten 
bewahrt und deren Schutz konsequent 
sichergestellt wird. Doch daran hapert 
es immer wieder, wie die zwei aktuellen 
Beispiele zeigen: 
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Bei der mit dem Patienten-Daten- 
schutzgesetz zum Jahresanfang 2021 
etablierten elektronischen Patienten- 
akte wird den Versicherten ohne geeig- 
netes Endgerät die Wahrnehmung der 
ihnen zustehenden Rechte in unzumut- 
barer Weise erschwert. Im Jahr 2021 be- 
steht gar keine Möglichkeit, ohne eige- 
nen PC, Handy oder Tablet in die Inhalte 
der eigenen Akte Einblick zu nehmen 
und Zugriffsrechte darauf zu steuern. 
Ab 2022 kann ein Vertreter benannt 
werden, über den dies dann möglich 
sein soll. Eine unmittelbare Rechteaus- 
übung ist zu keinem Zeitpunkt vorgese- 
hen. „Damit werden Versicherten ihnen 
unmittelbar zustehende elementare 
Datenschutzrechte genommen. Mit der 
Aufstellung eigener Terminals bei den 
Krankenkassen oder anderen geeigne- 
ten Maßnahmen hätte man dies vermei- 
den können und müssen”, konstatiert 
der rheinland-pfälzische Landesda- 
tenschutzbeauftragte Professor Dieter 
Kugelmann. „Die gesetzlichen Vorga- 


ben missachten in grober Weise die den 
Versicherten zustehende Wahrnehmung 
ihres Grundrechts. Sollten sich Betroffe- 
ne an mich wenden und Defizite bei der 
Ausübung ihrer Rechte geltend machen, 
werde ich von den meiner Aufsicht un- 
terliegenden Krankenkassen verlangen, 
dass die Versicherten ihre Datenschutz- 
rechte unmittelbar ausüben können.” 
Auch in Bezug auf den neuesten Ge- 
setzentwurf aus dem Bundesgesund- 
heitsministerium sieht der Landesda- 
tenschutzbeauftragte Verbesserungsbe- 
darf. Mit dem Entwurf des DVPMG wird 
die Digitalisierung im Gesundheitswe- 
sen vertieft und auf den Bereich der Pfle- 
geversicherung ausgeweitet. Doch es 
gibt deutliche Defizite: So sollen digitale 
Gesundheits- und Pflegeanwendungen 
unter anderem noch bis zum Jahr 2023 
erstattungsfähig sein, wenn deren Da- 
tenschutz- und Sicherheitstauglichkeit 
allein von den Herstellern selbst erklärt 
wird. Erst danach bedarf es im Hinblick 
auf die Sicherheit der Anwendungen 
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der Vorlage von Zertifikaten; bezüglich 
des Datenschutzes ist das auch danach 
nicht vorgesehen. Kugelmann sagt: 
„Dem Schutz der Gesundheitsdaten, die 
in den digitalen Anwendungen sowohl 
in der Krankenversorgung als auch der 
Pflege verarbeitet werden, muss höchs- 
te Priorität beigemessen werden. Allein 
den eigenen Erklärungen der Hersteller 
zu vertrauen, darf als Nachweis für die 
Einhaltung der Anforderungen an den 
Datenschutz und die Datensicherheit 
nicht ausreichen. Schon die Zulassung 
der ersten digitalen Gesundheitsan- 
wendungen hat dies eindrucksvoll ge- 


zeigt.” Kugelmann betont weiter: „Ich 
appelliere deshalb an den Gesetzgeber, 
ausschließlich den Einsatz von siche- 
ren und datenschutzgerechten Anwen- 
dungen sicherzustellen und dabei die 
in dem Datenschutzrecht vorhandenen 
Möglichkeiten der Zertifizierung im 
besonders sensiblen Gesundheitswesen 
zu nutzen und dies nicht erst im Jahr 
2023, sondern sofort. Datenschutz und 
IT-Sicherheit dürfen nicht auf die lange 
Bank geschoben werden.” 

In seiner gegenüber der Landesregie- 
rung zu dem Gesetzentwurf abgegebe- 
nen Stellungnahme fordert Professor 


Dieter Kugelmann weiter, bei der im 
Gesetz vorgesehenen Einrichtung eines 
zentralen Kommunikationsdienstes für 
das Gesundheitswesen die Vorgaben 
des Datenschutzes für die Nutzung von 
E-Mail- und Messaging-Diensten zu be- 
achten und insbesondere die Nutzung 
privater Endgeräte zur Kommunikation 
im beruflichen Kontext zu verbieten. 
Die Einrichtung einer Schweigepflicht 
für Hersteller von digitalen Gesund- 
heits- und Pflegeanwendungen begrüß- 
te er, wobei sich diese auf alle an der 
Herstellung und den Betrieb mitwirken- 
den Personen erstrecken sollte. 


Pressemitteilung der Gesellschaft für Informatik (GI) und vieler weiterer 
Organisationen vom 18.12.2020 


Offener Brief: 


Ausreichende Fristen für Verbändebeteiligung* 


Wirkliche demokratische Mitsprache 
statt Beteiligungssimulation - Verbände 
und zivilgesellschaftliche Akteure for- 
dern auf Initiative der Gesellschaft für 
Informatik e.V. längere Fristen zur Kom- 
mentierung von Gesetzentwürfen und ei- 
nen offeneren Beteiligungsprozess. 

Die Gesellschaft für Informatik e.V. 
(GI) und mehr als ein Dutzend weite- 
rer Vereine und Verbände richten sich 
in einem offenen Brief „Angemessene 
Fristen statt Scheinbeteiligung” an alle 
Bundesministerinnen und -minister. 
Sie fordern darin insbesondere ange- 
messene Fristen für die Kommentierung 
von Gesetzesentwürfen. 

Im Dezember wurde mit einer 
28-Stunden-Frist für Stellungnahmen 
zum Vierten Referentenentwurf des IT- 
Sicherheitsgesetzes 2.0 (108 Seiten) 
und einer 48-Stunden-Frist zur Novel- 
lierung des Telekommunikationsge- 
setzes (465 Seiten) ein Tiefpunkt der 
bundesdeutschen Verbändebeteiligung 
erreicht. 

GI-Geschäftsführer Daniel Krupka: 
„Wer ernsthaftes Interesse an der Be- 
teiligung der Zivilgesellschaft und Ver- 
bänden am Gesetzgebungsprozess hat, 
muss auch für Rahmenbedingungen 
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sorgen, die dies ermöglichen. In solch 
kurzer Zeit ist eine ernsthafte Beteili- 
gung insbesondere zivilgesellschaftli- 
cher Akteure schlichtweg nicht mög- 
lich. Deshalb fordern wir eine wirkliche 
und auch für Vereine und Verbände um- 
setzbare Beteiligung, statt der Simula- 
tion von Partizipation, die wir in letzter 
Zeit immer öfter erleben durften.” 

Die Beteiligung von Zivilgesellschaft 
und Verbänden an Gesetzgebungspro- 
zessen ist ein elementarer Bestandteil 
unserer Demokratie. Deshalb ist in 8 47 
der Gemeinsamen Geschäftsordnung 
der Bundesministerien (GGO) auch eine 
„möglichst frühzeitige” Zuleitung an 
Verbände vorgesehen. In der Realität 
sieht es allerdings häufig so aus, dass 
Stellungnahmen zu Gesetzesvorschlä- 
gen in weniger als drei Arbeitswochen 


Jetzt DVD-Mitglied werden: 


- teilweise von gerade einmal wenigen 
Werktagen - erwartet werden. 

Die Unterzeichner*innen - Verbrau- 
cherzentrale Bundesverband e. V., 
Transparency International Deutsch- 
land e.V., Stiftung Neue Verantwortung, 
eco - Verband der Internetwirtschaft e. 
V., Bundesverband IT-Mittelstand e.V. 
(BITMi), Chaos Computer Club (CCC), 
u.v.a. - fordern längere Kommentie- 
rungsfristen von mindestens vier Ar- 
beitswochen sowie eine Orientierung 
an der Länge eines Gesetzentwurfes. Wir 
schlagen vor: Pro 50 Seiten, je eine Wo- 
che Bearbeitungszeit. 

Neben längeren Fristen fordern die 
Unterzeichner*innen die Bereitstellung 
von Synopsen, die Veröffentlichung der 
Referentenentwürfe sowie eine Öffnung 
des Kommentierungsprozesses. 


www.datenschutzverein.de/ 
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Pressemitteilung vom 09.02.2021 


Vor wenigen Tagen stellte das Bun- 
desinnenministerium (BMI) im Rahmen 
einer Verbändeanhörung einen Referen- 
tenentwurf für die Änderung des Geset- 
zes zum Ausländerzentralregister (AZR, 
AZRG) vor. Damit will das Ministerium 
die Digitalisierung im Ausländer- und 
Asylwesen verbessern. Geplant ist die Da- 
tenbestände zwischen dem AZR und wei- 
teren mit Ausländern befassten Behör- 
den zu „synchronisieren“. Dafür ist u.a. 
vorgesehen, dass im AZR von Ausländern 
vorgelegte Dokumente sowie behördli- 
che Entscheidungen über Asyl, Aufent- 
halt, Einreisebedenken oder politisches 
Betätigungsverbot vorgehalten werden, 
um sie bei Bedarf kurzfristig digital zu 
übermitteln. Außerdem ist geplant im 
A7ZR ausländische Personenidentitäts- 
nummern aufzunehmen, die nicht nur 
zur Identifizierung genutzt werden kön- 
nen, sondern auch zum Datenaustausch 
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zwischen deutschen und Heimatbehör- 
den. Obwohl die Wohnadressen schon 
in den Melderegistern gespeichert sind, 
sollen sie für Nicht-EU-Bürger künftig 
auch ins AZR aufgenommen und generell 
zum Abruf bereitgestellt werden. 

Der Entwurf plant eine Ausweitung der 
behördlichen Befugnisse ohne aber auch 
nur an einer Stelle die Transparenz für 
die Betroffenen und deren Möglichkeit, 
rechtliches Gehör zu erhalten, zu ver- 
bessern. Da es sich hier um hochsensib- 
le Informationen handelt, die Auskunft 
über politische Verfolgung, über prekäre 
Familienverhältnisse oder über Notsi- 
tuationen geben, wird sowohl vom Ver- 
fassungsrecht wie von der europäischen 
Datenschutz-Grundverordnung gefor- 
dert, dass ein solches Gesetz Schutzvor- 
kehrungen für die Betroffenen vorsieht. 

Dazu der DVD-Vorsitzende Frank Spa- 
eing: „Das Gesetz zum AZR müsste gene- 


a 
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rell wegen Datenschutzverstößen um- 
fassend überarbeitet werden. Statt die 
Rechte der Betroffenen auf den euro- 
paweit geltenden Standard zu bringen, 
wird mit dem BMI- Entwurf die Entrech- 
tung und Bevormundung der Ausländer 
weiter vorangetrieben. Der Entwurf darf 
so nicht Gesetz werden.” 

Der stellvertretende DVD-Vorsitzen- 
de Werner Hülsmann ergänzt: „Die 
vom Innenministerium durchgeführ- 
te Verbändeanhörung war eine Farce: 
Soweit bekannt, wurde kein Daten- 
schutzverband beteiligt, obwohl es im 
Entwurf durchgängig um verschärfte 
Dateneingriffe geht. Und eine Frist 
von 4 Tagen zur Stellungnahme auf ei- 
nen über 100-seitigen Gesetzentwurf 
verhindert, dass sich Experten quali- 
fiziert mit einer derart schwerwiegen- 
den Gesetzesänderung auseinander- 
setzen können.” 
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Von den Jahren 2014 und 2015 sind noch 
alle Hefte in großer Anzahl verfügbar 
Bestellbar für 4 Euro pro Jahrgang oder 6 Euro für beide Jahrgänge * 


„necl nschutz 
zieh richten 


1/2014 Konzern-Datenschutz 
2/2014 Das Internet der Dinge 
3/2014 Datenschutz im Reiseverkehr 
4/2014 Big Data 


1/2015 Mobilität, Telematik und Datenschutz 

2/2015 Datenerfassung und Flüchtlinge 

3/2015 Rote Linien zur EU-DSGVO 

4/2015 Sichere Häfen * Nur solange der Vorrat reicht 
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Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 


Anti-Pandemiegesetz 
stärkt Datensammelei 
durch RKI 


Das am 18.11.2020 von Bundestag 
und Bundesrat verabschiedete und kurz 
danach in Kraft gesetzte „Dritte Gesetz 
zum Schutz der Bevölkerung bei ei- 
ner epidemischen Lage von nationaler 
Tragweite” (kurz Drittes Bevölkerungs- 
schutzgesetz) sieht eine zentralisierte 
Konsolidierung von Patientendaten bei 
einer Bundesbehörde vor. 

Gemäß den weitreichenden Änderun- 
gen des Infektionsschutzgesetzes (IfSG) 
durch die Große Koalition wird unter 
anderem eine neue zentrale Sammel- 
stelle für digitale Personendaten beim 
Robert-Koch-Institut (RKT) eingerichtet. 
Das RKI wird neben Meldedaten zu SARS- 
CoV-2-Infektionen demnach auch Pati- 
entendaten zu allen Impfungen gegen 
das Coronavirus und über die Reisebe- 
wegungen deutscher und ausländischer 
Bürger erhalten. Das deutsche elektro- 
nische Melde- und Informationssystem 
für den Infektionsschutz (DEMIS) ist laut 
RKI eine Weiterentwicklung des beste- 
henden Systems zur Verarbeitung von 
Krankheitsmeldungen nach dem IfSG. 
Mit dem neuen Gesetz werden nun alle 
meldepflichtigen Stellen veranlasst, ihre 
Daten an dieses System zu übermitteln. 

Neben den üblichen Patienten- und 
Kontaktdaten müssen jetzt auch die 
lebenslange Arztnummer (LANR) des 
behandelnden Arztes und die Betriebs- 
stättennummer (BSNR) seiner Gesund- 
heitseinrichtung übermittelt werden. 
Zusätzlich wird die Ortsangabe bei der 
Übermittlung der Daten von Infizierten 
präzisiert. Außerdem sollen die Daten 
von Patienten an das RKI geschickt 
werden, die Impfungen gegen das 
SARS-CoV-2-Virus erhalten. Das soll in 
pseudonymisierter Form erfolgen und 
dient der Überprüfung der Wirksamkeit 
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der Impfstoffe durch das Robert-Koch- 
Institut und das Paul-Ehrlich-Institut 
(PEI). Obwohl das PEI für die Zulassung 
und Prüfung von Impfstoffen zuständig 
ist, lagern die Daten im DEMIS beim RKI. 
Weiterhin erhält das RKI nun auch Da- 
ten über Personen, die aus Risikogebie- 
ten in die Bundesrepublik einreisen und 
stichprobenartig von Bundesbürgern, 
die eine Bundesgrenze übertreten. 

Die Kontrolle dieser Maßnahmen nach 
datenschutzrechtlichen Gesichtspunk- 
ten liegt beim Bundesbeauftragten für 
den Datenschutz und die Informations- 
freiheit (BfDI) Ulrich Kelber (SPD). Da- 
tenschutzbeauftragte der Länder sind 
außen vor. 

Kelber kritisierte in seiner zuvor er- 
stellten Stellungnahme: „Erneut werden 
mit dem Gesetz verschiedene Melde- 
pflichten oder Übermittlungen perso- 
nenbezogener Daten eingeführt oder 
erweitert, ohne zu berücksichtigen, 
dass die Verarbeitung von Gesundheits- 
daten, also besonders geschützten per- 
sonenbezogenen Daten, einen Eingriff 
in das Grundrecht auf informationelle 
Selbstbestimmung darstellt und daher 
sorgfältig zu begründen und zu recht- 
fertigen ist und besondere flankierende 
Maßnahmen zum Schutz der sensiblen 
Daten vorzusehen sind.” 

Der BfDI kritisierte die Hast, mit der 
das Gesetz vorgelegt und verabschie- 
det wurde. Das habe es kaum möglich 
gemacht zu prüfen, ob es datenschutz- 
rechtlich unbedenklich ist. Eine gan- 
ze Reihe von Vorschlägen Kelbers, die 
Datensammlung einzuschränken oder 
etwa die Nutzung der Daten und deren 
Empfänger zu präzisieren, wurde nicht 
berücksichtigt. Zur Erhebung von Pan- 
demiedaten durch das RKI meint Kel- 
ber in der Stellungnahme: „Allgemein 
sehe ich mit Besorgnis, dass die Gewin- 
nung von Erkenntnissen zunehmend 
gesetzlich vorgesehen und bundes- 
weit zwingend durch staatliche Stellen 
vorgesehen wird. Dies übergeht die in 
Deutschland durchaus vorhandenen 


Möglichkeiten klinischer und wissen- 
schaftlicher Forschung, die einwilli- 
gungsbasiert erfahrungsgemäß zuver- 
lässige Ergebnisse liefert.” 

Kelber war nicht direkt in den Ent- 
wurf oder wenigstens zeitnah in die 
Änderungen des Dritten Bevölkerungs- 
schutzgesetzes eingebunden: „Diese 
extrem kurzen Fristen erschweren eine 
sachgerechte Bearbeitung erheblich 
und erscheinen zu einem Zeitpunkt, zu 
dem die Pandemie-Lage seit mehr als 
sieben Monaten besteht, nicht ange- 
messen.” Die Geschwindigkeit, in der 
das entsprechende Gesetz verfasst und 
dem Bundestag und dem Bundesrat zur 
Abstimmung vorgelegt wurde, wurde 
auch von einer Reihe von Abgeordneten 
der Opposition ausdrücklich bemängelt. 

Obwohl Melde- und Gesundheitsdaten 
in Deutschland grundsätzlich nicht auf 
der Ebene des Bundes erfasst oder ge- 
speichert werden, institutionalisierte 
das IfSG zum 01.01.2001 das Robert- 
Koch-Institut als neue Bundesbehörde 
für die Erfassung und Speicherung von 
Patienten- und Gesundheitsdaten im 
Zusammenhang mit meldepflichtigen 
Krankheiten. Diese Rolle wird mit der 
erfolgten Überarbeitung des Gesetzes 
verstärkt. Die Daten von Personen, die 
an COVID-19 erkrankt sind, mit dem 
SARS-CoV-2-Virus infiziert wurden oder 
in Verdacht stehen infiziert worden zu 
sein oder andere anstecken zu können, 
werden somit nun direkt an das RKI 
übermittelt. Dazu zählen auch die Da- 
ten von Personen, die nach Deutschland 
einreisen oder einreisen wollen. 

Private Beförderer (etwa im öffent- 
lichen Personennahverkehr, die Deut- 
sche Bahn und Fluggesellschaften) 
müssen eine Reihe von Gesundheits- 
daten, Impfdokumente, Testergebnisse 
und Angaben zu Symptomen erheben 
und übermitteln. Gleiches gilt für die 
Bundespolizei und andere Polizeibehör- 
den, die zusätzlich bei Nichtvorhanden- 
sein von Impf- oder Testdokumenten 
eine entsprechende grenzübertretende 
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Person zur Durchführung eines Tests auf 
SARS-CoV-2 (gemeint ist hier wohl aktu- 
ell eine Feststellung per Nasenabstrich 
und RT-PCR) zwingen kann. Hinzu kom- 
men die (pseudonymisierten) Daten 
all jener Patienten, die einen Impfstoff 
gegen das SARS-CoV-2-Virus erhalten. 
Das Robert-Koch-Institut erhält so in 
Zukunft die Daten von Millionen von 
Bundesbürgern. Die neue Gesundheits- 
Cloud DEMIS wird zur Speicherung und 
Analyse dieser Daten vom RKI betrieben 
und zusammen mit der Gesellschaft für 
Telematik (Gematik) entwickelt, die 
auch für die elektronische Patientenak- 
te (ePA) zuständig ist (Scherschel, Drit- 
tes Bevölkerungsschutzgesetz: Massen- 
hafte Datenspeicherung beim RKI, www. 
heise.de 19.11.2020, Kurzlink: https:// 
heise.de/-4964944). 


Bund 


Kelber kritisiert Nicht- 
umsetzung der Daten- 
schutzrichtlinie für Polizei 
und Justiz 


Der Bundesbeauftragte für den Da- 
tenschutz und die Informationsfreiheit 
(BfDI) Ulrich Kelber hat festgestellt, 
dass Deutschland in den Bereichen des 
Datenschutzes bei Polizei und Justiz 
weiter massiv hinterherhinkt und des- 
halb die Bundesregierung aufgefor- 
dert, die einschlägige EU-Richtlinie 
von 2016 (DSRI-JI) vollständig umzu- 
setzen. Die EU-Mitgliedsstaaten hatten 
sich verpflichtet alle dafür notwendigen 
Gesetze bis zum 06.05.2018 zu erlas- 
sen. Deutschland habe diese Frist am 
29.01.2021 schon um 1000 Tage über- 
schritten. 

Kelber kann als BfDI Datenschutz- 
verstöße bei der Bundespolizei und 
der Zollfahndung momentan „nur be- 
anstanden“: „Ohne nationale Gesetze 
fehlen mir wirksame Durchsetzungsbe- 
fugnisse. Das untergräbt die demokrati- 
sche Legitimation der Datenschutzauf- 
sicht und der Strafverfolgungsbehörden 
gleichzeitig.” Der Informatiker sieht 
den Gesetzgeber daher „sofort” zum 
Handeln verpflichtet. Im Frühjahr 2020 
habe seine Behörde zwar den Entwurf 
eines neuen Bundespolizeigesetzes er- 
halten, mit dem auch Vorgaben aus der 


DANA ® Datenschutz Nachrichten 1/2021 


DSRI-JI berücksichtigt worden wären. 
Dieser sei bisher jedoch nicht in den 
Bundestag gelangt. Die Bundesregie- 
rung wollte die Initiative, mit der die 
Ermittler auch den Bundestrojaner etwa 
zum Hacken von Smartphones und Lap- 
tops einsetzen können sollen, eigent- 
lich im Januar 2021 auf den Weg brin- 
gen. Das Vorhaben war aber aufgrund 
des Streits zwischen einzelnen Ressorts 
nicht mehr im Plan. 

Das Zollfahndungsdienstegesetz hat 
der Gesetzgeber zwar bereits umfassend 
überarbeitet. Bundespräsident Frank- 
Walter Steinmeier (SPD) unterzeichnete 
es aber wegen der enthaltenen verfas- 
sungswidrigen Klauseln zur Bestands- 
datenauskunft noch nicht. Der Gesetz- 
geber hätte Kelber zufolge stattdessen 
auch eine Änderung im dritten Teil des 
Bundesdatenschutzgesetzes (BDSG) vor- 
nehmen können, um die Regeln nicht 
für jede Behörde in Fachgesetzen wie- 
derholen zu müssen. Immerhin ist, so 
Kelber, die Richtlinie für den Bereich des 
Bundeskriminalamtes (BKA) grundsätz- 
lich umgesetzt. Im BKA-Gesetz habe der 
Bundestag geregelt, dass die Aufsichts- 
behörde geeignete Abhilfemaßnahmen 
anordnen kann, „wenn dies zur Besei- 
tigung eines erheblichen Verstoßes ge- 
gen datenschutzrechtliche Vorschriften 
erforderlich ist”. Anordnungsbefugnisse 
fehlten aber ferner im Bereich der Ge- 
heimdienste, sodass auch hier derzeit 
nur ein Beanstanden möglich ist. 

Bei der DSRI-JI handelt es sich um 
den „kleinen Bruder“ der stärker im 
öffentlichen Fokus stehenden Daten- 
schutz-Grundverordnung (DSGVO). Der 
„Zwilling“ schützt das Grundrecht der 
Bürger auf Privatheit, wenn Strafver- 
folgungsbehörden personenbezoge- 
ne Daten verwenden. Die enthaltenen 
EU-Vorschriften sollen mit ähnlichen 
Betroffenenrechten wie in der DSGVO 
gewährleisten, dass die personenbe- 
zogenen Informationen von Opfern, 
Zeugen und Verdächtigen angemessen 
geschützt werden (dazu DANA 1/2016, 
8 ff.). Die EU-Kommission leitete in 
der Sache im Mai 2020 die zweite Stu- 
fe eines Vertragsverletzungsverfahren 
gegen Deutschland ein. Sie monierte 
dabei auch, dass fünf der 16 Bundeslän- 
der noch keine Maßnahmen ergriffen 
haben, um die Bestimmungen umzu- 
setzen. Die damals gesetzte Frist ist im 


Herbst abgelaufen, sodass die Kommis- 
sion in Brüssel den Fallnun an den Eu- 
ropäischen Gerichtshof verweisen kann 
(Krempl, Polizei & Justiz: EU-Daten- 
schutzrichtlinie seit 1000 Tagen nicht 
umgesetzt, www.heise.de 30.01.2021, 
Kurzlink: https://heise.de/-5041277). 


Bund 


StPO-Verschärfung mit 
Kfz-Kennzeichenscanning 
geplant 


Die Bundesregierung plant ge- 
mäß einem Kabinettsbeschluss vom 
20.01.2021 eine „Fortentwicklung der 
Strafprozessordnung“ (StPO). Damit 
sollen Polizei und andere Sicherheits- 
behörden wie der Zoll u.a. eine einheit- 
liche Rechtsgrundlage für den Einsatz 
automatisierter Kennzeichenlesesys- 
teme (AKLS) im öffentlichen Verkehrs- 
raum zu Fahndungszwecken erhalten. 
Gemäß dem geplanten 8 163g StPO dür- 
fen Strafverfolger „örtlich begrenzt im 
öffentlichen Verkehrsraum“ ohne das 
Wissen der betroffenen Personen „Kenn- 
zeichen von Kraftfahrzeugen sowie Ort, 
Datum, Uhrzeit und Fahrtrichtung 
durch den Einsatz technischer Mittel 
automatisch“ erheben. Die Daten kön- 
nen anschließend abgeglichen werden 
mit Kfz-Kennzeichen, die auf den Be- 
schuldigten oder auf Verbindungsper- 
sonen zugelassen sind oder von ihnen 
genutzt werden. Im Referentenentwurf 
des Bundesjustizministeriums war zu- 
nächst ein allgemeinerer Abgleich mit 
„Halterdaten“ vorgesehen. 

Für das Kennzeichen-Scanning müs- 
sen „zureichende tatsächliche Anhalts- 
punkte dafür vorliegen, dass eine Straf- 
tat von erheblicher Bedeutung began- 
gen worden ist”. Der weitgehend unbe- 
stimmte Rechtsbegriff bezieht sich auf 
gewerbs-, gewohnheits-, serien-, ban- 
denmäßig und allgemein „organisiert“ 
begangene Straftaten. Dazu zählen auch 
Betrugsfälle, Drogenkriminalität und 
das Verbreiten von Darstellungen sexu- 
ellen Kindesmissbrauchs. Das Kennzei- 
chen-Scanning soll zulässig sein, wenn 
es „zur Ermittlung der Identität oder des 
Aufenthaltsorts des Beschuldigten füh- 
ren kann“. Dies soll auch gelten, wenn 
das Kennzeichen des mutmaßlichen Tä- 


33 


ters bekannt ist, der Name eines Flüch- 
tigen aber noch nicht. Die Daten dürfen 
laut Gesetzentwurf „nur vorübergehend 
und nicht flächendeckend” automati- 
siert erhoben werden. Wenn kein Tref- 
fer vorliegt oder dieser nicht bestätigt 
werden kann, müssten die erhobenen 
Informationen „sofort und spurenlos” 
gelöscht werden. 

Eine schriftliche Anordnung „der 
Staatsanwaltschaft oder ihrer Ermitt- 
lungsperson“ soll ausreichen. Darin 
müssen die Halterdaten der Verdächti- 
gen und die Stellen der Überwachung 
genau bezeichnet werden. Bei Gefahr im 
Verzug ist eine mündliche Anweisung 
möglich. Die Anordnung muss befristet 
werden, ein Richtervorbehalt sei nicht 
angezeigt. 

Für die Gefahrenabwehr ist das Kenn- 
zeichen-Scanning schon seit vielen 
Jahren anlassbezogen polizeirechtlich 
in zahlreichen Bundesländern erlaubt. 
Bisher wurde das Instrument im Rah- 
men der Strafverfolgung auf & 100h 
StPO gestützt, was aber rechtliche Un- 
sicherheiten zur Folge hatte. Diese Re- 
gelung erlaubt, dass „auch ohne Wissen 
der betroffenen Personen außerhalb von 
Wohnungen Bildaufnahmen hergestellt 
werden dürfen”, um den Aufenthaltsort 
eines Beschuldigten herauszufinden. 
Nicht abgedeckt ist das Abgleichen von 
Kennzeichen mit Datenbanken. Vor al- 
lem in Brandenburg ist die Nummern- 
schilderfassung sehr umstritten, eine 
Verfassungsbeschwerde ist anhängig 
(DANA 2/2020, 119 f.; DANA 2/2019, 
92£.). 

Vom Kennzeichen-Scanning sind 
typischerweise viele Personen betrof- 
fen Diese alle anschließend über den 
Grundrechtseingriff zu benachrichtigen 
erscheint der Bundesregierung „prak- 
tisch undurchführbar” und sei verfas- 
sungsrechtlich auch nicht vorgeschrie- 
ben. Informiert werden sollen daher nur 
Beschuldigte und Kontaktpersonen. 


° Kritik 


Rena Tangens vom Datenschutzverein 
Digitalcourage erwartet, dass auch die 
nun geplante bundesweite Erlaubnis vor 
dem Bundesverfassungsgericht keinen 
Bestand haben dürfte. Schon 2008 habe 
das höchste Gericht klargestellt, dass es 
enge Grenzen für die Verhältnismäßig- 
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keit bei diesem Instrument gebe. Mit der 
vorgesehenen StPO-Novelle bleibe aber 
vieles vage: So sollten Kfz-Kennzeichen 
„vorübergehend“ und „örtlich begrenzt” 
beim Verdacht auf „erhebliche Straf- 
taten” erlaubt werden, was den Behör- 
den „viel zu viel Ermessensspielraum” 
lasse. Einen Richtervorbehalt solle es 
zudem nicht geben. Eine schriftliche 
Anordnung der Staatsanwaltschaft rei- 
che dem Entwurf nach aus, bei „Gefahr 
im Verzug” dürfe diese sogar mündlich 
durch die Ermittlungspersonen erge- 
hen. Die Polizei könne sich „also im 
Zweifel selbst dazu berechtigen”. Dies 
stehe in keinem Verhältnis zur Schwe- 
re des damit verknüpften Einschnitts in 
die Grundrechte. 


« Mehr Online-Durchsuchungen und 
mehr 


Mit dem Gesetzentwurf, der den 
Bundestag und den Bundesrat passie- 
ren muss, will die Regierung auch den 
Straftatenkatalog für heimliche Online- 
Durchsuchungen mit Staatstrojanern 
und den großen Lauschangriff in Para- 
graf 100b StPO „geringfügig“ ausdehnen 
und so „an die Bedürfnisse der Praxis” 
anpassen. Aufgenommen werden sollen 
weitere Delikte aus dem Bereich des Men- 
schenhandels und der Begleitdelikte, 
etwa der gewerbs- und bandenmäßige 
Computerbetrug sowie Tatbestände aus 
dem Außenwirtschafts- und dem Neue- 
psychoaktive-Stoffe-Gesetz. Die Zahl 
der heimlichen Online-Durchsuchungen 
werde so jährlich durchschnittlich, so die 
Gesetzesbegründung, von 12 auf 14 an- 
steigen, die der Wohnraumüberwachung 
von8auf9. Das Kabinett will zugleich die 
klassische Telekommunikationsüberwa- 
chung bei bandenmäßiger Steuerhinter- 
ziehung in größerem Umfang als bisher 
ermöglichen. 

Ermittler sollen künftig vor allem auf 
elektronische Beweismittel wie beim Pro- 
vider gespeicherte E-Mails oder Chats, 
Inhalte eines Nutzerkontos eines sozia- 
len Netzwerks sowie Daten in der Cloud 
auch heimlich zugreifen dürfen. Mit ei- 
nem neuen 8 95a soll es ihnen möglich 
werden die Bekanntgabe einer Beschlag- 
nahme in bestimmten Konstellationen 
bei Straftaten von erheblicher Bedeu- 
tung und unter Beachtung des Verhält- 
nismäßigkeitsgebots per gerichtlicher 


Anordnung zurückzustellen. Derlei Aus- 
nahmen zu dem prinzipiell fortbeste- 
henden Grundsatz der Offenheit solcher 
Zugriffe soll Fällen vorbehalten sein, „bei 
denen sich der zu beschlagnahmende 
Beweisgegenstand im Gewahrsam einer 
unverdächtigen Person befindet”. Werde 
offen beschlagnahmt, bestehe die Gefahr 
der Aufdeckung oder der Vereitelung des 
Ermittlungserfolgs, wenn eine gleichzei- 
tig durchgeführte heimliche Strafverfol- 
gung ihren Sinn verliere. Es gehe vor al- 
lem um Kinderpornographie, Handel mit 
Waffen, Drogen, Hehlerware und sonsti- 
gen verbotenen Gegenständen sowohl im 
Internet als auch im Darknet. Etwa auch 
bei Staatsschutzdelikten und Cyberkri- 
minalität stünden die Fahnder hier im- 
mer wieder vor Herausforderungen. 

Das Kabinett will auch die Regeln 
zur Postbeschlagnahme verschärfen. 
Ermittler sollen künftig auch Auskunft 
von Postdienstleistern über Postsen- 
dungen von oder an beschuldigte Per- 
sonen verlangen können, die bereits 
ausgeliefert sind oder sich noch nicht 
beim Serviceanbieter befinden. Dies sei 
wichtig, „um eine effektive Strafver- 
folgung auch in Zeiten des vermehrten 
Online-Versandhandels zu gewährleis- 
ten“. Gerade der zunehmende Versand 
krimineller Ware „über das besonders 
abgeschottete Darknet” könne mit die- 
ser Handhabe besser aufgeklärt werden 
(Krempl, Bundesregierung: Kfz-Kenn- 
zeichen-Scanning kommt bundesweit, 
www.heise.de 20.01.2021, Kurzlink: 
https://heise.de/-5031140; Krempl, 
Bürgerrechtler warnen vor bundeswei- 
tem Kfz-Kennzeichen-Scanning, www. 
heise.de 23.01.2021, Kurzlink: https:// 
heise.de/-5033739, vgl. DANA 4/2020, 
245 f.; zur Ausweitung der strafrechtli- 
chen Ermittlungsmöglichkeiten siehe 
auch die folgende Meldung). 


Bund 


Gesetzentwurf gegen 
Cybercrime-Plattformen 


Gemäß einem Referentenentwurf aus 
dem Haus von Bundesjustizministerin 
Christine Lambrecht soll schärfer gegen 
den Verkauf etwa von Betäubungsmit- 
teln, Waffen, Falschgeld, Darstellungen 
sexuellen Kindesmissbrauchs, gefälsch- 
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ten Ausweisen und gestohlenen Kredit- 
kartendaten auf kriminellen Handels- 
plattformen im Internet vorgegangen 
werden können. Wer kriminelle Han- 
delsplattformen gewerbsmäßig über das 
Darknet betreibt, soll laut dem Plan mit 
bis zu zehn Jahren Haft bestraft werden. 
Für weniger schwere Fälle sind eine Frei- 
heitsstrafe von bis zu fünf Jahren oder 
Geldstrafe vorgesehen. Der Referenten- 
entwurf aus dem Justizressort wurde 
von netzpolitik.org veröffentlicht. Ein 
neuer & 127 Strafgesetzbuch (StGB) 
richtet sich gegen Betreiber von Han- 
delsplattformen, die den Zweck haben, 
Verbrechen sowie bestimmte Vergehen 
„zu ermöglichen oder zu fördern“. 

Die Straftaten, die erfasst werden 
sollen, sind in einem breiten Katalog 
aufgeführt. Dieser reicht von schweren 
Straftaten wie dem Inverkehrbringen 
von Falschgeld, dem Vorbereiten der 
Fälschung von Geld, Wertzeichen oder 
Zahlungskarten über den schweren se- 
xuellen Missbrauch von Kindern und 
das Verbreiten, Erwerb oder Besitz ver- 
botener Pornografie bis zu diversen Dro- 
gendelikten. Dazu kommen Verstöße 
gegen das Waffen- und Sprengstoffge- 
setz, aber auch gegen das Marken- und 
Designgesetz. 

Laut der Begründung sollen ferner Ver- 
gehen eingeschlossen sein, „die häufig 
als Auftragstaten im Internet bestellt 
werden (“Crime-as-a-Service ‘)”. Dabei 
könne es sich etwa um das Ausspähen 
oder Abfangen von Daten handeln. Auf- 
gezählt wird schier die ganze Latte von 
Hackerparagrafen, die sich unter an- 
derem auch gegen das Hehlen mit oder 
das Verändern von Daten sowie Compu- 
tersabotage und -betrug richten. Das 
Ansetzen der Höchststrafe von mehr 
als fünf Jahren Freiheitsentzug sei den- 
jenigen Delikten vorbehalten, „die ein 
besonders schweres Tatunrecht aufwei- 
sen und damit den Bereich der mittleren 
Kriminalität eindeutig verlassen“. Um 
die angeführten Straftaten aufklären zu 
können, „sollen zugleich effektive Er- 
mittlungsmöglichkeiten” dazukommen: 
„Die Strafverfolgungsbehörden müssen 
die Möglichkeit haben diesem Phänomen 
konsequent und effektiv zu begegnen.” 

Bei gewerbsmäßigem Handeln sol- 
len die Fahnder die Telekommunikati- 
on Verdächtiger sowie genutzte Server 
überwachen und Staatstrojaner für 
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heimliche Online-Durchsuchungen ein- 
setzen können. Letzteres dürfen Ord- 
nungshüter bislang allein im Kampf 
gegen „besonders schwere Straftaten”. 
Der neue 8 127 StGB sollim & 100b der 
Strafprozessordnung (StPO) aufgeführt 
werden, was der Polizei die Option er- 
öffnet einen großen Lauschangriff nach 
& 100c StPO durchzuführen. Das Minis- 
terium streift diesen Aspekt, mit dem 
die Ermittler ein besonders scharfes 
Schwert in die Hand bekommen sollen: 
Der Anwendungsbereich der akusti- 
schen Wohnraumüberwachung werde 
entsprechend „erweitert“. Dies sei der 
Grund dafür, dass nicht nur in das Fern- 
meldegeheimnis, sondern auch in das 
Grundrecht auf Unverletzlichkeit der 
Wohnung eingegriffen werde. 

Ausführlicher wirbt das Ressort für 
die Online-Durchsuchung, die als po- 
lizeiliches Instrument kaum weniger 
umstritten ist. Damit könnten „wichtige 
Erkenntnisse über weitere Tatverdächti- 
ge und über den Umfang der Straftat ge- 
wonnen werden, die auf anderem Wege 
nicht zu erlangen” seien. Der damit 
verbundene Eingriff in das Grundrecht 
auf Vertraulichkeit und Integrität infor- 
mationstechnischer Systeme sei „ver- 
hältnismäßig“. Insgesamt würden die 
Befugnisse der Strafverfolger „moderat“ 
ausgedehnt. 

Auf Plattformen, „deren Zugang und 
Erreichbarkeit durch besondere tech- 
nische Vorkehrungen beschränkt ist” 
und die etwa „im sogenannten Darknet 
betrieben werden”, will das Ministerium 
nicht allein abstellen. Zwar böten solche 
Bereiche des Internets aufgrund „ihres 
hohen Maßes an Anonymität neben vie- 
len rechtmäßigen und wünschenswer- 
ten Nutzungsmöglichkeiten auch eine 
optimale Umgebung für das Betreiben 
krimineller Handelsplattformen”. Auch 
im offenen Teil des Internets gebe es 
aber „digitale Marktplätze, auf denen 
illegale Waren und Dienstleistungen ge- 
handelt werden“. 

Zuvor hatten der Bundesrat und Bun- 
desinnenminister Horst Seehofer (CSU) 
Gesetzesentwürfe vorgelegt, mit denen 
sie einen neuen Straftatbestand allein 
für das Betreiben illegaler Darknet- 
Handelsplätze schaffen wollten. Kritiker 
brachten dagegen vor, dass damit auch 
legitime „internetbasierte Leistungen” 
wie der Anonymisierungsdienst Tor 


kriminalisiert werden könnten. Im Ko- 
alitionsvertrag hatte Schwarz-Rot fest- 
gehalten: „Wo Strafbarkeitslücken be- 
stehen, werden wir eine Strafbarkeit für 
das Betreiben krimineller Infrastruktu- 
ren einführen.” Damit soll speziell im 
Internet eine Ahndung von Delikten wie 
das Betreiben eines Darknet-Handels- 
platzes für kriminelle Waren und Dienst- 
leistungen möglich werden. Diese Lücke 
besteht gemäß dem Referentenentwurf. 
Es gebe zwar schon spezialgesetzliche 
Verbote für den Verkauf bestimmter 
Waren und die Vorschrift zur Beihilfe 
im StGB. In den Fällen, in denen eine 
Verkaufsplattform aber vollautomati- 
siert betrieben werde, könne auf diesem 
Weg „allerdings nicht jeder Sachver- 
halt erfasst werden”. Eine Kenntnis der 
Haupttat sei damit nämlich nicht immer 
gegeben, die Betreiber könnten so alles 
abstreiten. 

Die Justizministerin Lambrecht sieht 
dringenden Handlungsbedarf. Die An- 
zahl krimineller Handelsplattformen 
nehme zu und es könne „nicht hinge- 
nommen werden”, dass ihre Betreiber 
„sich nicht strafbar machen oder zumin- 
dest eine effektive Strafverfolgung nicht 
möglich ist”. Bereits 2016 habe das BKA 
rund 50 entsprechende Plattformen ge- 
zählt. Es sei auch „eine deutliche Zu- 
nahme bei Angeboten von Hackertools 
und -dienstleistungen zu verzeichnen”. 
Über die Portale würden massenhaft 
Straftaten ermöglicht und gefördert. 
Ein evtl. langwieriges Konsultationsver- 
fahren mit der EU-Kommission sei daher 
„nicht angezeigt”. Das Vorhaben sei mit 
der E-Commerce-Richtlinie vereinbar. 
Das Risiko, dass mit der Initiative legi- 
time Online-Marktplätze wie eBay oder 
Amazon erfasst werden, sieht Lamb- 
recht nicht. Vielmehr werde „Rechtssi- 
cherheit für Unternehmen gewährleis- 
tet, deren Geschäftsmodell das Betrei- 
ben von Plattformen mit rechtskonfor- 
men Angeboten ist“. Manche Definition 
ist aber weit gestrickt. So werden etwa 
auch Foren einbezogen sowie nicht- 
kommerzielle Aktivitäten wie „Tausch- 
geschäfte oder Schenkungen”. Um auf 
Nummer sicher zu gehen, sollen „kon- 
krete Umstände des Einzelfalls“ geprüft 
werden (Krempl, Staatstrojaner und 
großer Lauschangriff gegen kriminelle 
Marktplätze, www.heise.de 26.11.2020, 
Kurzlink: https://heise.de/-4971297). 
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Bund 


Bestandsdatenauskunft 
soll neu geregelt werden 


Mit einem „Reparaturgesetz” will das 
Bundesinnenministerium (BMI) die 
Regeln zur Bestandsdatenauskunft von 
Telekommunikations- (TK-) und Medi- 
endiensten an Vorgaben des Bundes- 
verfassungsgerichts (BVerfG) anpassen 
und zugleich ausweiten. Im Mai 2020 
hatte das BVerfG geurteilt, dass der 
staatliche Zugriff auf Bestandsdaten 
wie Name, Anschrift und E-Mail-Adres- 
sen von Nutzern begrenzt werden muss 
(DANA 3/2020, 208 ff.). Mit einem vom 
BMI vorgelegten Entwurf sollen nicht 
nur die Übermittlungsvorschriften für 
die Dienstanbieter und die Abrufbe- 
stimmungen für Sicherheitsbehörden 
konkretisiert, sondern zugleich die 
Befugnisse insbesondere der Bundes- 
polizei und von Zollfahndern ausweitet 
werden. 

Das Vorhaben wird als eilbedürftig 
eingestuft, da aufgrund der Ansage des 
BVerfG auch der umstrittene Gesetz- 
entwurf zur „Bekämpfung von Rechts- 
extremismus und Hasskriminalität” auf 
Eis liegt. Bundespräsident Frank-Walter 
Steinmeier (SPD) hatte sich Anfang 
Oktober 2020 geweigert, die vom Bun- 
destag zuvor im Juni beschlossene In- 
itiative zu unterzeichnen, weil gemäß 
dem Urteil des BVerfG „eine hinreichend 
präzise Umgrenzung des Verwendungs- 
zwecks“ von Bestandsdaten nicht 
gewährleistet war. Gemäß dem „Anti- 
Hass-Gesetz” müssen Anbieter von Te- 
lemediendiensten wie WhatsApp, eBay, 
Facebook, Google mit Gmail und YouTu- 
be, Tinder & Co. sensible Daten von Ver- 
dächtigen wie IP-Adressen und - in der 
Regel verschlüsselt gespeicherte - Pass- 
wörter künftig an Sicherheitsbehörden 
herausgeben. Der Gesetzgeber will da- 
mit die Möglichkeiten zur Bestandsda- 
tenauskunft ausdehnen. 

Das Bundeskriminalamt (BKA) so- 
wie andere Strafverfolgungsbehörden 
und Geheimdienste könnten so etwa 
Kennungen, mit denen der Zugriff auf 
Nutzerkonten, Endgeräte und auf da- 
von räumlich getrennte Speicherein- 
richtungen etwa in der Cloud geschützt 
wird, beispielsweise von sozialen Medi- 
en, Chatdiensten, Spiele-Apps, Suchma- 
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schinen, Shops und privaten Seiten im 
Web, Webmail-Diensten, Podcasts und 
Flirt-Communities abfragen. 

Das BMI will diesen breiten Zugang zu 
Bestandsdaten mit seinem Referenten- 
entwurf für das „Reparaturgesetz” auch 
der Bundespolizei sowie dem Zollkrimi- 
nalamt und den Zollfahndungsämtern 
eröffnen. Deren Ermittler dürften die 
begehrten Informationen bislang nur 
bei TK-Anbietern erheben; bei Betrei- 
bern von Telemedien fehlt, so das BMI, 
eine „explizite Befugnisnorm”. Diese 
Lücke soll „unter gleichzeitiger Anpas- 
sung an die Vorgaben des Bundesver- 
fassungsgerichts durch die Neufassung 
geschlossen” werden. 

Zu den künftig betroffenen Unter- 
nehmen zählen gemäß dem Entwurf 
„insbesondere Internetauktionshäuser 
oder -tauschbörsen, Anbieter von Vi- 
deos auf Abruf oder Suchmaschinen im 
Internet”. Die Kommunikation verlage- 
re sich zunehmend in soziale Netzwer- 
ke und Internetforen, wo eine Vielzahl 
von Mitgliedern einer Gruppe gleich- 
zeitig informiert werden könne. Diese 
Möglichkeit werde auch dazu genutzt 
„Straftaten im Vorfeld konspirativ zu or- 
ganisieren und zu lenken“. 

Dazu gehörten im Zuständigkeitsbe- 
reich der Bundespolizei etwa „Verab- 
redungen im Internet zu Gewalt gegen 
Bahnpersonal oder zu Anschlägen im 
Bereich von Bahnhöfen oder Flughä- 
fen“. Mit den bisher den Ordnungshü- 
tern zur Verfügung stehenden Mitteln 
sei „eine adäquate Reaktion auf Strafta- 
ten, die auf diese Weise vorbereitet wer- 
den, nicht möglich“. Die „wachsende 
Bedeutung dieser Diensteanbieter bei 
der Aufklärung von Sachverhalten zur 
Gefahrenabwehr sowie der Verhütung 
und Verfolgung von Straftaten” müsse 
sich daher auch im Instrumentarium 
der Bundespolizei widerspiegeln. Dies 
gelte analog für den Zoll. 

Um den Auflagen des BVerfG nach- 
zukommen, soll die Bundespolizei ein 
Ersuchen nach Bestandsdaten nur ver- 
langen dürfen, um im Einzelfall eine 
Gefahr für die Öffentliche Sicherheit 
oder Ordnung oder eine drohende Ge- 
fahr für ein Rechtsgut von erheblichem 
oder besonders schwerem Gewicht ab- 
zuwehren. Weitere Voraussetzung ist, 
dass „Tatsachen den Schluss auf ein 
wenigstens seiner Art nach konkreti- 


siertes und zeitlich absehbares Gesche- 
hen zulassen“. 

Der Entwurf will die Befugnisse der 
Diensteanbieter zur Weitergabe von 
Bestandsdaten nach dem Telekommu- 
nikationsgesetz (TKG) und dem Teleme- 
diengesetz (TMG) einander anpassen. 
Parallel sollen die korrespondierenden 
Abrufkompetenzen nach der „Doppel- 
türrechtsprechung” auch für das BKA 
sowie alle drei Geheimdienste geändert 
werden. Die Reform der Landespolizei- 
gesetze liegt in der Verantwortung der 
Länder. 

In einem Begleitbrief des BMI heißt 
es: „Die Übermittlungs- und Erhebungs- 
zwecke werden dem Bestimmtheitsge- 
bot entsprechend normenklar geregelt.” 
Dazu gehöre auch, dass die Weitergabe 
der Daten an das BKA und Zollkrimi- 
nalamt in deren Zentralstellenfunktion 
als Drehscheibe für andere Strafverfol- 
gungsbehörden ausdrücklich geregelt 
werde. Dem Grundsatz der Verhältnis- 
mäßigkeit folgend würden die Eingriffs- 
voraussetzungen abgestuft: „Je weiter 
die Befugnisausübung im Vorfeld einer 
konkreten Gefahr ermöglicht wird, des- 
to gewichtiger muss das zu schützende 
Rechtsgut oder desto schwerer die zu 
verhütende Straftat sein.” Ferner wür- 
den bislang zwar schon praktizierte, 
aber gesetzlich noch nicht vorgesehene 
behördliche Dokumentationspflichten 
festgeschrieben. 

In den einzelnen Gesetzen für die 
Sicherheitsbehörden des Bundes will 
das BMI so etwa klarstellen, dass „die 
Auskunft nur verlangt werden” dürfe, 
„wenn die gesetzlichen Voraussetzun- 
gen für die Nutzung der Daten vorlie- 
gen“. Teils reichen die Kompetenzen 
aber nach wie vor recht weit. Das BKA 
etwa soll auch Bestandsdaten abfra- 
gen dürfen, um „Auskunftsersuchen 
einer ausländischen Strafverfolgungs- 
behörde im Rahmen des polizeilichen 
Dienstverkehrs” zu erledigen. Die Be- 
fugnis gelte ferner, wenn „die konkrete 
Gefahr besteht, dass eine Person an der 
Begehung” einer schweren Straftat „be- 
teiligt sein wird”. Der Verdacht könne 
dabei auch durch eine „konkrete Wahr- 
scheinlichkeit” begründet werden. Das 
Bundesamt für Verfassungsschutz soll 
zudem „Zugangssicherungsinformati- 
onen” wie PIN und PUK nicht mehr nur 
bei TK-Unternehmen, sondern, was neu 
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wäre, auch bei Telemediendiensten er- 
fragen dürfen. 

Die im Anti-Hass-Gesetz vorgesehene 
breite Klausel zur Herausgabe von Pass- 
wörtern kann laut der Begründung un- 
verändert bleiben. Sie entspreche den 
BVerfG-Anforderungen. Juristen sehen 
die Pflicht zur Weitergabe strafrechtlich 
relevanter Inhalte inklusive IP-Adres- 
sen und Portnummern durch Facebook 
& Co. ans BKA als kritisch an, da diese 
sich zunächst auf reine Verdachtsfäl- 
le bezieht. Die Grünen fordern hier ein 
zweistufiges Verfahren. Das BMI hat 
diesen Ansatz nicht aufgegriffen. 

Verbände hatten insgesamt nur eine 
Woche Zeit, den gleichzeitig mit den 
anderen Ressorts abzustimmenden Ent- 
wurf zu kommentieren. Im Rekordtem- 
po sollte das Vorhaben noch vor Weih- 
nachten durch den Bundestag und den 
Bundesrat geschleust werden. Nicht 
haltbare Bestimmungen aus dem ge- 
stoppten Anti-Hass-Gesetz werden dem 
Plan nach aufgehoben, die überarbeite- 
ten einschlägigen Artikel „erneut ein- 
gebracht”. 

Grünen-Fraktionsvize Konstan- 
tin von Notz hielt es für zweifelhaft, 
dass das Verfahren so durchgezogen 
werden kann. Dass das vorgesehene 
Gesetz diesmal höchstrichterlichen 
Vorgaben gerecht werde, sei fraglich. 
Auf jeden Fall komme auf das BKA 
mit der Meldepflicht durch Betreiber 
sozialer Netzwerke eine „Denial-of- 
Service-Attacke” zu. Das ganze Vor- 
gehen der Bundesregierung habe das 
Potenzial, „den wichtigen Kampf ge- 
gen Rechtsextremismus und strafba- 
re Meinungsäußerungen im Internet 
zu erschweren” (Krempl, Bestands- 
daten: Bundespolizei und Zoll sol- 
len auf Passwörter zugreifen dürfen, 
www.heise.de 28.11.2020, Kurzlink: 
https://heise.de/-4973625; Hänge- 
partie beim Gesetz zur Bekämpfung 
des Rechtsextremismus hält an, www. 
gruene-bundestag.de 16.12.2020). 


Bund 


BND-Kontrollgesetz weiter- 
hin streitig 


Das Bundeskanzleramt legte Ende 
November 2020 die Überarbeitung ei- 


DANA ® Datenschutz Nachrichten 1/2021 


nes Gesetzentwurfs vor, wonach der 
Bundesnachrichtendienst (BND) Jour- 
nalisten nur noch in Ausnahmen be- 
lauschen darf, und reagiert damit auf 
umfangreiche Proteste und eine Ver- 
fassungsbeschwerde. Beim weltweiten 
Telefoneanzapfen oder Mitlesen von E- 
Mails soll der BND künftig mehr Respekt 
vor ausländischen Journalistinnen und 
Journalisten zeigen. 

Journalisten hatten darauf hinge- 
wiesen, dass sie mit Informanten ver- 
traulich sprechen können müssen, 
besonders wenn diese die Verfolgung 
durch ein ausländisches Regime fürch- 
ten. Journalistenverbände hatten da- 
her eine Verfassungsbeschwerde gegen 
den BND angestrengt und mit Datum 
vom 18.05.2020 in einem umfangrei- 
chen Urteil des Bundesverfassungsge- 
richts (BVerfG) Recht bekommen (DANA 
3/2020, 202 ff.). 

Während es in einem ersten Gesetz- 
entwurf aus dem Bundeskanzleramt 
vom September 2020 noch geheißen 
hatte, der BND solle ausländische Jour- 
nalisten künftig immer dann abhören 
dürfen, wenn dadurch „Erkenntnisse“ 
über „krisenhafte Entwicklungen im 
Ausland” gewonnen werden könnten 
(DANA 4/2020, 242 f.), hat sich die Re- 
gierung offenbar umstimmen lassen, so 
der Geschäftsführer von Reporter ohne 
Grenzen, Christian Mihr: „Die Hürden 
sind jetzt deutlich, deutlich höher”. Das 
habe ihn überrascht. Offenbar hätten 
sich die Diskussionen in den vorange- 
gangenen Wochen gelohnt. 

Nach dem neuen, überarbeiteten Ent- 
wurf darf der BND ausländische Journa- 
listen nur noch belauschen, wenn diese 
selbst Täter oder Teilnehmer bestimmter 
schwerer Straftaten sind. Oder wenn 
dies „notwendig ist zur Verhinderung 
einer Gefahr” für Leib oder Leben, le- 
benswichtige Güter oder den Bestand 
eines EU-Staats oder der Nato. 

Kern der vom BVerfG eingeforderten 
Reform ist, dass in Deutschland ein 
völlig neues System der Kontrolle der 
BND-Abhörpraktiken geschaffen wird. 
Die Bundesregierung spricht im Ge- 
setzentwurf von einem „Unabhängigen 
Kontrollrat” aus sechs erfahrenen Ju- 
ristinnen und Juristen, die von Bun- 
destagsabgeordneten gewählt werden 
sollen. In der ersten Fassung des Ge- 
setzentwurfs vor zwei Monaten stand 


noch, dass der BND in Ausnahmefällen 
aus Gründen des „Staatswohls“ Dinge 
vor diesem Kontrollrat geheim halten 
dürfe. Auch an diesem Punkt gibt die 
Bundesregierung nun der Kritik nach. 
Der künftige Kontrollrat soll alles ein- 
sehen dürfen. 

Weiterhin soll die Einschränkung gel- 
ten, dass die Kontrolleure vor solchen IT- 
Systemen Halt machen müssen, die der 
BND mit ausländischen Geheimdiensten 
gemeinsam betreibt. Auch Gebäude, in 
denen der BND etwa mit dem US-Abhör- 
giganten NSA zusammenarbeitet, sollen 
die Mitglieder des Kontrollrats nicht be- 
treten dürfen. Das könnte in der Praxis 
sehr wichtig werden. Der BND arbeitet in 
vielen Bereichen eng mit ausländischen 
Geheimdiensten zusammen, die sich 
eine Kontrolle durch eine von der Regie- 
rung unabhängige Instanz in Deutsch- 
land verbitten wollen. Dieser Bereich 
würde einer rechtsstaatlichen Kontrolle 
wohl unzugänglich bleiben. 

Auch aus diesem Grund spricht der 
Vorsitzende der Gesellschaft für Frei- 
heitsrechte, Ulf Buermeyer, der im Mai 
gemeinsam mit Reporter ohne Grenzen 
in Karlsruhe gegen den BND gesiegt 
hatte, von einer „Provokation“: „Nach 
wie vor versucht die Bundesregierung, 
entgegen der Entscheidung des Bundes- 
verfassungsgerichts vom Mai 2020 eine 
wirklich effektive und unabhängige 
Kontrolle des BND zu verhindern.” Das 
Problem beschränkt sich nicht allein auf 
die Zusammenarbeit mit fremden Staa- 
ten. Auch wenn der BND mit inländi- 
schen Stellen wie etwa dem Bundeskri- 
minalamt oder dem Verfassungsschutz 
kooperiert, soll dies dem Einblick durch 
die Kontrolleure entzogen bleiben. 

Dies betrifft die sogenannten pro- 
jektbezogenen gemeinsamen Dateien, 
die der BND etwa mit dem Bundeskri- 
minalamt für je fünf Jahre gemeinsam 
führt und die er nach dem neuen Ge- 
setzentwurf künftig auch mit der Bun- 
deswehr gemeinsam führen soll. Der Ge- 
setzentwurf aus dem Kanzleramt wurde 
am 16.12.2020 im Bundeskabinett be- 
schlossen und soll im Frühjahr im Bun- 
destag debattiert werden. 

(Steinke, Abhören mit Auflagen, 
SZ 01.12.2020, 5; Meister, Bundes- 
regierung beschließt Geheimdienst- 
Überwachung wie zu Snowden-Zeiten, 
netzpolitik.org 16.12.2020). 
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Bund 


EGMR lässt Klage gegen 
BND zu 


Der Europäische Gerichtshof für Men- 
schenrechte (EGMR) in Straßburg hat 
eine Beschwerde gegen den Bundes- 
nachrichtendienst (BND) zur Entschei- 
dung angenommen. Es geht um den 
Verdacht, dass der BND millionenfach 
E-Mails von Deutschen durchleuchtet 
hat. Es geht dabei auch um die Frage, 
ob Bürger gegen Maßnahmen Rechts- 
schutz erlangen können, die derart ge- 
heim gehalten werden, dass sie nicht 
einschätzen können, ob sie davon be- 
troffen sind. 

In der jüngeren Zeit sind einige Ur- 
teile ergangen, die den BND in seiner 
jahrelangen Abgeschiedenheit gestört 
haben. 2017 äußerte das Bundesver- 
waltungsgericht (BVerwG) Einwände 
gegen die Massenüberwachung des BND 
und die Speicherung von Verbindungs- 
daten von Telefongesprächen in der Da- 
tenbank „Veras“. Die Richterinnen und 
Richter sahen dafür keine Rechtsgrund- 
lage (DANA 1/2018, 54 £.). Inzwischen 
hat der Bundestag eine Rechtsgrund- 
lage geschaffen, die Speicherung von 
Verkehrsdaten für sechs Monate ist dem 
BND jetzt ausdrücklich erlaubt. 

Mai 2020 ließ das Bundesverfas- 
sungsgericht ein mehr als 300 Seiten 
dickes Urteil folgen, in dem das höchste 
deutsche Gericht das Überwachen von 
Ausländern im Ausland durch den BND 
begrenzt (DANA 3/2020, 202 ff.). Die 
Grundrechte des Grundgesetzes seien 
auch dort stets zu beachten. Ausländer 
seien kein „Freiwild” für die deutschen 
Überwacher. Die Bindung an das Grund- 
gesetz gelte, was die Bundesregierung 
jahrelang bestritt, auch für die Lauscher 
und Hacker hinter dem BND-Zaun. 

Nun sind die Chancen gestiegen, dass 
die Justiz als nächstes auch die Rechte 
von Inländern gegenüber dem Geheim- 
dienst stärkt. Der EGMR hat eine Be- 
schwerde der Journalistenorganisation 
„Reporter ohne Grenzen” gegen den 
BND zur Entscheidung angenommen. 
Nur sehr wenige Beschwerden nehmen 
bei dem Gerichtshof in Straßburg die- 
se Hürde. Schon mit der Annahme zur 
Entscheidung ist eine bemerkenswerte 
Botschaft des europäischen Gerichts 
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verbunden: Die deutsche Justiz ist im- 
mer noch zu zurückhaltend gegenüber 
den eigenen Geheimdiensten. 

In dem Fall geht es wieder um die 
Massenüberwachung durch den BND. 
Für den Geheimdienst ist diese alltäg- 
liche Routine. Der Dienst durchsucht 
die Kommunikation über das Internet, 
schaltet sich vor allem an großen Inter- 
netknotenpunkten wie in Frankfurt am 
Main in Leitungen ein und filtert dann 
den Datenstrom nach bestimmten Be- 
griffen, die auf politisch Brisantes hin- 
deuten könnten. Tausende „Treffer“ pro 
Tag erzielt der Dienst auf diese Weise. 
Sie werden anschließend von Agenten 
gelesen und analysiert. 

Eigentlich sollten deutsche Bürger 
vor einer solchen BND-Überwachung 
ihrer E-Mails und Chats geschützt sein. 
Der Geheimdienst verwendet deshalb 
verschiedene technische Mittel, um die 
Nachrichten vorab herauszufischen. 
Das ist aber denkbar schwierig. Deut- 
sche schreiben ihre E-Mails nicht nur 
von Domains, die auf .de enden, sie te- 
lefonieren auch nicht nur von Anschlüs- 
sen, die eine deutsche Vorwahl haben. 
Unabhängige Technikfachleute waren 
noch nie recht überzeugt von den Be- 
teuerungen des BND, dass man zu einer 
sauberen Trennung hier wirklich in der 
Lage sei. Ihr Verdacht besteht darin, 
dass auch E-Mails von Deutschen durch- 
leuchtet und teils gelesen werden. 

2013 hatte sich deshalb „Reporter 
ohne Grenzen“, vertreten durch den 
Datenschutzanwalt Niko Härting, hil- 
fesuchend an das BVerwG in Leipzig 
gewandt. Es war das Jahr der Enthül- 
lungen von Edward Snowden. Der ame- 
rikanische Whistleblower hatte der Welt 
gerade vor Augen geführt, wie sehr die 
weltweite Massenüberwachung seit den 
Anschlägen vom 11.09.2001 zugenom- 
men hatte. 

Doch bei dem BVerwG, das in ers- 
ter Instanz für Klagen gegen den BND 
zuständig ist, wurden die Kläger mit 
diesem Anliegen abgewiesen (DANA 
1/2017, 64 £.). Die Richter wollten sich 
mit der Beschwerde nicht einmal be- 
schäftigen. Und auch beim höchsten 
deutschen Gericht, dem Bundesverfas- 
sungsgericht, an das sich die Kläger als 
nächstes wandten, lief es 2017 nicht 
anders. Die Richter erklärten: Nur wer 
nachweisen könne, dass er oder sie vom 


BND überwacht worden sei, dürfe kla- 
gen. Das heißt dann in der Praxis: so gut 
wie niemand. Diese Haltung der Justiz 
schützt den BND. 

So kommt nun der EGMR ins Spiel. 
Der Gerichtshof hat sich am 09.12.2020 
an die Bundesregierung gewendet und 
juristisch-nüchtern die Frage nach 
„wirksamen Rechtsbehelfen” gegen der- 
artige Geheimoperationen gestellt (Az. 
81993/17). Der Kläger hatte in seiner 
Beschwerdeschrift moniert, dass er den 
Beweis, heimlich überwacht worden zu 
sein, „aufgrund der Heimlichkeit der 
Maßnahmen und der umfassenden Lö- 
schung der erfassten Nachrichten nicht 
führen” kann. Für den Geschäftsführer 
von „Reporter ohne Grenzen” Christian 
Mihr ist deshalb die bisherige Haltung 
der deutschen Gerichte „absurd“. 

Der Straßburger Gerichtshof ist zu- 
ständig für alle 47 Staaten, die der Eu- 
ropäischen Menschenrechtskonvention 
(EMRK) angehören. Sollte er am Ende 
urteilen, dass es in Deutschland ein- 
facher werden muss den BND zu ver- 
klagen, wäre dies zwar nicht bindend. 
Andere Staaten wie etwa Russland oder 
die Türkei ignorieren Urteile des EGMR 
regelmäßig. Allerdings hat sich die 
Bundesrepublik in der Vergangenheit 
stets dem Straßburger Votum gebeugt, 
zuletzt hat sie deshalb etwa das System 
der Sicherungsverwahrung im Strafvoll- 
zug neu geordnet. Bis März 2021 hat die 
Bundesregierung Zeit, eine Stellung- 
nahme in dem Verfahren abzugeben. 
Mit einer Entscheidung des Gerichtshofs 
wird nicht vor 2022 gerechnet (Steinke, 
Klage gegen Bundesnachrichtendienst 
zugelassen, www.sueddeutsche.de 
11.01.2021; Dämpfer für die Lauscher, 
SZ 11.01.2021, 6). 


Bund 


BM)J gegen Scheuers 
KFZ-Daten-Regelungsvor- 
schläge 


Das Bundesjustizministerium (BM)J) 
monierte in mehreren Punkten ein ge- 
plantes Gesetz des Bundesverkehrsmi- 
nisteriums von Andreas Scheuer (CSU) 
für automatisiertes Fahren, u.a. weil Da- 
ten künftig an Verfassungsschutz und 
Bundeskriminalamt übermittelt werden 
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sollen. Das BMJ verweigerte unter an- 
derem aus diesem Grund, dem Entwurf 
zuzustimmen. Das BMJ fordert vom Ver- 
kehrsministerium, die entsprechenden 
Vorschriften in dem Gesetz- und im 
Verordnungsentwurf „zu streichen”: Bei 
den Daten, die erhoben würden, hande- 
le es sich auch um „sensible personen- 
bezogene Datenkategorien, die beim 
autonomen Fahren anfallen, wie etwa 
die Positionsdaten des Fahrzeugs, aus 
denen sich Bewegungsprofile der Fahr- 
zeuginsassen erstellen lassen würden”. 

Da es keinen Schutz dieser Daten 
gebe, widerspreche das den Anforde- 
rungen, die das Bundesverfassungs- 
gericht dem Gesetzgeber aufgegeben 
habe. „Auch die Begründung lässt nicht 
erkennen, ob eine Übermittlung der ge- 
nannten Daten zur Erreichung eines le- 
gitimen Regelungszwecks geeignet, er- 
forderlich und angemessen erscheint.” 

Der hochsensible Bereich der per- 
sonenbezogenen Daten ist nur ein 
Kritikpunkt an dem Plan von Minister 
Scheuer. Dieser will noch in dieser Le- 
gislaturperiode das Gesetz durch den 
Bundestag bringen, mit dem die Au- 
tomobilhersteller autonom fahrende 
Fahrzeuge im regulären Straßenverkehr 
einsetzen können. Zunächst soll dies 
im Nahverkehr durch Kleinbusse, soge- 
nannte „People Mover“, möglich sein. 

Bereits in einer ersten Stellungnah- 
me hatten die Beamten von Justizmi- 
nisterin Christine Lambrecht (SPD) 
grundlegende Bedenken geäußert. Das 
Verkehrsministerium reagierte darauf 
Mitte Dezember 2020, offenkundig aber 
wenig überzeugend, wie sich aus der 19 
Seiten umfassenden zweiten Replik er- 
gibt. Darin legen die Beamten sogar ei- 
nen eigenen Entwurf für ein Mobilitäts- 
datengesetz vor und lassen kein gutes 
Haar an den Plänen von Minister Scheu- 
er: „Die Entwürfe für ein Gesetz und für 
eine Verordnung zum autonomen Fah- 
ren sind aus hiesiger Sicht weiterhin in- 
haltlich, rechtsförmlich und rechtssys- 
tematisch anpassungsbedürftig.” 

Sie seien „erkennbar noch nicht aus 
einem Guss”. Angesichts der zahlrei- 
chen Defizite sei eine „nochmalige Vor- 
lage von wesentlich überarbeiteten Ent- 
würfen” seitens des Bundesverkehrsmi- 
nisteriums erforderlich. Auch verweist 
das Justizressort „auf die Notwendig- 
keit, für die abschließende Rechts- 
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und Mitprüfung angemessene Fristen 
einzuräumen”. Mit dem Hinweis gilt 
innerhalb der Bundesregierung als so 
gut wie sicher, dass das Gesetz in dieser 
Legislaturperiode nicht mehr umgesetzt 
werden kann. 

Dabei schließt sich das BMJ grund- 
legend der Meinung an, dass autono- 
me Fahrzeuge vor allem im Nahverkehr 
„maßgeblich dazu beitragen“ können, 
dass etwa ältere und behinderte Men- 
schen „im urbanen, aber vor allem auch 
im ländlichen Raum” deutlich mobiler 
sind. Auch ein Beitrag zum Klimaschutz 
werde damit geleistet. Notwendig sei 
aber „ein ausgewogener Rechtsrah- 
men”. Die Pläne des Verkehrsministers 
trügen allenfalls dem „Innovations- 
drang der Technologie“ Rechnung, so 
auch das Vorblatt des Gesetzentwurfes. 

Das Justizressort plädiert „hinsicht- 
lich der Mobilitätsdaten für eine Re- 
gelung zur Datensouveränität, für Re- 
gelungen zur Datenverarbeitung, zum 
erlaubten Zugriff auf die Fahrzeugda- 
ten, für eine nutzerfreundliche Soft- 
ware im KFZ und für eine Regelung zur 
Bereitstellung von Fahrzeugdaten für 
Gemeinwohlzwecke” - und macht dafür 
konkrete Vorschläge. Der Kern, der ins 
Straßenverkehrsgesetz eingefügt wer- 
den soll: Der Halter des Fahrzeugs oder 
„die Person, die das Fahrzeug dauerhaft 
nutzt“, ist Herr „aller Daten“. Gemeint 
ist „jegliche Datenverarbeitung, ins- 
besondere das Generieren, Erheben, 
Erfassen und Speichern sowohl von 
personenbezogenen Daten als auch von 
technischen Daten ohne Personenbe- 
zug”. Alles andere sei ein Verstoß gegen 
die Datenschutz-Grundverordnung der 
Europäischen Union. 

Der Halter muss aus Sicht des Ministe- 
riums die „Datensouveränität” besitzen. 
Das gelte auch für Daten, die etwa der 
Hersteller erhebt, um den Verschleiß 
von Fahrzeugteilen zu ermitteln. Ent- 
sprechend dürften Volkswagen, Daimler, 
BMW oder Toyota in ihren Allgemeinen 
Geschäftsbedingungen nicht festlegen, 
dass der Halter auf seine Datenhoheit 
verzichtet, wenn er das Fahrzeug kauft. 
Auch müsse der Hersteller ermöglichen, 
dass der Halter Daten selbst speichert 
und über offene Schnittstellen etwa an 
einen „Datentreuhänder” übermittelt. 
Damit wird ein Datenmonopol der Auto- 
hersteller unterbunden. 


Einige Daten aber will auch das Jus- 
tizministerium gern nutzen: Daten, 
die keine Rückschlüsse auf die Person 
erlauben, sollen auch der Allgemein- 
heit zur Verfügung stehen können. Sie 
sollen an eine „zentrale Anlaufstelle” 
übermittelt und etwa zur Verkehrs- und 
Stadtplanung genutzt werden (Delhaes, 
Mangelnder Datenschutz: Justizminis- 
terin lehnt Scheuers Gesetz zum auto- 
nomen Fahren ab, www.handelsblatt. 
com 19.01.2021). 


Bund 


Kartellamt: Datenschutz- 
verstöße beim Smart-TV 


„Smart-TVs” sind aus den Wohnzim- 
mern kaum noch wegzudenken. Mit ih- 
rer Anbindung an das Internet und über 
diverse Apps bieten sie die Möglichkeit, 
Streamingdienste ebenso zu nutzen wie 
Mediatheken oder Video-Plattformen. 
Viele smarte Fernseher sammeln Daten, 
ohne die Nutzer zuinformieren. Oder die 
Bestimmungen dazu sind so undurch- 
sichtig, dass sich viele in ihr Schicksal 
ergeben. Über den „Roten Knopf“ wird 
die HbbTV-Funktion für den Abruf von 
Zusatzinfos oder Nachrichten aktiviert. 
Hybrid Broadcast Broadband TV (Hbb- 
TV) ermöglicht es, Internetinhalte mit 
dem Fernsehbild zu verbinden. Wegen 
ihrer ständigen Anbindung ans Internet 
sind Smart-TVs quasi prädestiniert Nut- 
zungsdaten zu sammeln, weiterzugeben 
und sie gegebenenfalls sogar für perso- 
nalisierte Werbung einzusetzen. 

Gemäß einer Untersuchung des Bun- 
deskartellamts können „das generelle 
Fernsehverhalten einer Person, ihre 
App-Nutzung, ihr Surf- und Klickverhal- 
ten oder auch biometrische Daten wie 
Stimme oder Cursorbewegungen sowie 
die im Einzelnen über den Fernseher 
abgespielten Inhalte erfasst und ausge- 
wertet werden.” 

Viele TVs haben Google Assistant, 
Alexa oder Siri integriert oder sind da- 
mit kompatibel. Dadurch lassen sich 
die Fernseher und andere Smart-Home- 
Geräte per Sprache steuern. Zudem 
können die Hersteller unter anderem 
Standort und IP-Adresse übertragen, 
die beispielsweise an Netflix und dritte 
Werbeanbieter geleitet werden, unab- 
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hängig davon, ob man ein Konto bei 
dem Streaminganbieter hat oder nicht. 
Darüber hinaus könnten etwa Gerätetyp 
und Ort sowie die TV-Seriennummer und 
der Name des WLAN-Netzwerks erfasst 
werden, womit theoretisch ein Nutzer- 
profil erstellt werden kann. 

Nach Angaben von Ulrike Kuhlmann 
von c't werden bereits bei der Instal- 
lation einiger Smart-TVs über 60 Server 
angesprochen, etwa von Google, Ama- 
zon und Microsoft: „Nutzen Sie die Hbb- 
TV-Funktion, lässt sich jeder Klick mit 
der Fernbedienung nachverfolgen.” Sie 
empfiehlt, den „Roten Knopf” einfach 
zu deaktivieren, wenn man ihn sowieso 
nicht nutzt. 

Wie intensiv Daten gesammelt wer- 
den, ist abhängig vom Hersteller, wobei 
in der Regel günstigere TV-Geräte mehr 
Daten sammeln als die im höherpreisigen 
Segment. Nutzer können zumeist nicht 
erkennen, welche Daten gesammelt 
werden. Nach Angaben des Bundeskar- 
tellamts wiesen die Datenschutzbestim- 
mungen der untersuchten Hersteller 
„schwerwiegende Transparenzmängel” 
auf. Die Datenschutzbestimmungen 
seien vor allem deshalb für Verbraucher 
nicht nachvollziehbar, weil sie für eine 
Vielzahl von Diensten und Nutzungspro- 
zessen gelten sollen. Sich vor einem Kauf 
über den Datenschutz des Anbieters zu 
informieren - etwa über dessen Website 
- sei praktisch unmöglich. 

Teils kann man der Sammelei und Ver- 
wendung von Daten widersprechen, am 
besten gleich bei der Ersteinrichtung 
des Geräts. Dazu Kuhlmann: „Das hat 
keinen Einfluss auf die anderen Funkti- 
onen, auch wenn das von den Herstel- 
lern suggeriert wird.” Sollte später ein 
Dienst tatsächlich nicht funktionieren, 
ließe sich der Datenzugriff im Nachhin- 
ein wieder über die Einstellungen erlau- 
ben. Eine weitere Option besteht Kuhl- 
mann zufolge darin eine Blacklist im 
Router anzulegen, dann darf der Fern- 
seher nur bestimmte Server ansteuern. 
Das seijedoch recht aufwändig und eher 
für Versierte und Spezialisten geeignet: 
„Es gibt zwar vorgefertigte Listen, die 
muss man aber permanent pflegen.” 

Simone Warnke vom Onlinemagazin 
„Inside-digital.de“ gibt den Rat, Apps, 
die man auf dem Fernseher gar nicht 
nutzt, zu deinstallieren, inklusive An- 
wendungen für Sprachsteuerung oder 
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Kameras, falls vorhanden. Jede App, 
insbesondere wenn sie nicht aktuali- 
siert wird, sei ein zusätzliches Sicher- 
heits- und Datenschutz-Risiko. 

Bei etlichen Herstellern ist laut Bun- 
deskartellamt nicht gesichert, dass der 
Sicherheitsstandard der Geräte in den 
Jahren nach dem Kauf durch Software- 
Aktualisierungen aufrechterhalten wird. 
Kein Unternehmen mache verbindliche 
Angaben dazu, wie lange es seine Pro- 
dukte mit Sicherheitsupdates versorgt. 
Andreas Floemer vom Digitalmagazin t3n 
erläutert: „Bei fehlenden Sicherheitsup- 
dates ist die Wahrscheinlichkeit größer, 
dass kriminelle Hacker sich Zugriff auf 
den Fernseher verschaffen können, um 
etwa per Webcam oder Mikrofon zu se- 
hen und zu lauschen, was beim Nutzer im 
Wohnzimmer passiert“. Auch Zugangs- 
daten zu verknüpften Diensten könnten 
ausgespäht werden. 

Zum Schutz vor Hackern rät Kuhl- 
mann, den Fernseher zuhause nur mit 
dem Gäste-WLAN zu verbinden. So kön- 
ne der Fernseher zumindest nicht mit 
den anderen Geräten im Netzwerk kom- 
munizieren, wenngleich eine Daten- 
sammlung weiter möglich sei (Wenn der 
Fernseher Daten sammelt, www.fr.de 
19.11.2020). 


Bundesweit 


Umfrage bei Autofahrern 
bestätigt deren Wunsch 
nach Selbstbestimmung 


Gemäß einer von forsa durchgeführ- 
ten repräsentativen bundesweiten Um- 
frage bei 1007 Autofahrern im Auftrag 
der Dekra möchte eine große Mehrheit 
(88%) der Autofahrer in Deutschland 
selbst bestimmen, was mit den Daten 
aus dem eigenen Fahrzeug geschieht. 
Derzeit gibt es noch keine gesetzliche 
Regelung, die die Nutzung der Kfz- 
Daten regelt, die u.a. Auskunft geben 
über Fahrzeugzustand oder Fahrstil der 
Fahrer. 38% meinten, das Recht auf Be- 
stimmung der Datennutzung solle auch 
dem jeweiligen Fahrer zustehen, wenn 
er nicht Fahrzeugeigentümer ist, zum 
Beispiel bei Mietwagen. 

Die große Mehrheit (72%) möchte 
nicht, dass andere - Werkstatt, Ver- 
sicherung oder Behörden - erfahren, 


wie ihr Fahrstil ist. 63% finden es hin- 
gegen gut, wenn sie die Werkstatt oder 
der Hersteller durch den Zugriff auf 
Fahrzeugdaten auf nötige Reparaturen 
aufmerksam macht. 46% äußerten die 
Befürchtung, dass sie über den Daten- 
zugriffvon anderen ausgespäht werden: 
also dass ihr Fahrverhalten analysiert 
wird oder dass ihr Fahrzeug gehackt 
werden könnte und dadurch ihre Sicher- 
heit beim Fahren gefährdet sein könnte. 
80% erwarten, dass sich voll automa- 
tisierte Autos, die komplett eigenstän- 
dig fahren, früher oder später durch- 
setzen werden. 42% rechnen damit, 
dass dies in den nächsten 10 bis 20 
Jahren der Fall sein wird. 26% denken, 
dass es später soweit kommen wird. An 
das voll automatisierte Fahren in naher 
Zukunft (in weniger als zehn Jahren) 
glauben 12% der Befragten (PE DEKRA 
15.01.2021, Mein Auto, meine Daten!). 


Bundesweit 


Kontodatenzugriff für die 
Schufa 


+ Der Test 


Der Telefonanbieter Telefönica/02 
testete Ende 2020 eine Kooperation mit 
der Auskunftei Schufa und deren Toch- 
ter FinAPI. Das Angebot „Schufa Check 
Now“ nimmt dabei Zugriff auf die Konto- 
daten der Verbraucher beim kontofüh- 
renden Finanzinstitut. Die Daten wer- 
den dann durchleuchtet und geprüft, 
ob die Finanzsituation des Betroffenen 
besser aussieht, als der Score vermuten 
lässt, um ihm so eine zweite Chance auf 
den Vertrag einräumen. Bei dem Ver- 
fahren sollten mögliche Neukunden, die 
aufgrund ihrer schlechten Bewertung 
normalerweise keinen Handyvertrag 
bekommen würden, sich von der Schufa 
aufihr Konto schauen lassen: „Denn bei 
Telefönica gibt es vereinzelt potenziel- 
le Kunden, deren Vertragswunsch auf- 
grund einer fehlenden beziehungsweise 
unzureichenden oder älteren negativen 
Bonitätsinformation abgelehnt werden 
musste, obwohl ihre aktuelle finanzi- 
elle Situation völlig unproblematisch 
war.” Die Daten dazu werden nur fürden 
Zweck und ganz kurz gespeichert, hieß 
es von Seiten der Schufa. 
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Das Angebot war nur ein kleiner Aus- 
schnitt von größeren Pläne. Aus inter- 
nen Dokumenten geht hervor, dass die 
Schufa mit ihrem Dienst das Ziel ver- 
folgt, einen detailgetreuen Einblick in 
Millionen Kontoauszüge zu bekommen. 
Dieses Wissen hätte dann in eine Art Su- 
perscore einfließen können. 

Wie die Schufa mit Sitz in Wiesbaden 
an die Daten gelangen möchte, zeigte 
der Test mit Telefönica: Auf der Web- 
seite stand ein kleines Kästchen, das 
Verbraucher freiwillig anhaken können 
- ein Klick mit großen Auswirkungen: 
Mit ihm nämlich gibt der Kunde der 
Auskunftei die Erlaubnis, seine Konto- 
auszüge zu lesen, diese Daten für zwölf 
Monate zu speichern und daraus auch 
eigene Produkte zu entwickeln. Die 
Schufa betonte, dass man in der Test- 
phase keine Daten speicherte. „Über die 
spätere Ausgestaltung des finalen Pro- 
duktes können wir derzeit daher noch 
keine Auskunft geben.” 

Was ein Blick auf die höchstpersön- 
lichen Kontodaten offenbaren kann, 
ist der Schufa sehr wohl bewusst. 2020 
hielt der Vertriebsmanager der Tochter- 
firma FinAPI einen Vortrag vor einigen 
potenziellen Kunden. Auf einer Folie 
zeigte er zwölf Kategorien und 65 Unter- 
kategorien, die man auslesen könnte. 
Dazu gehören beispielsweise das Gehalt, 
Unterhaltszahlungen, Ausgaben für 
Heimwerken und Garten, für Strom, für 
Gas, für Versicherungen oder für Well- 
ness. Außerdem könne man sogenannte 
„Risikofaktoren“ erkennen, beispiels- 
weise Glücksspiel oder Zahlungen an 
Inkassoinstitute. Was die Schufa zwölf 
Monate lang mit diesen Daten machen 
will, wollte sie auf Anfrage nicht sagen. 


° Erste Reaktionen 


Datenschützer zeigten sich entsetzt. 
Peter Schaar, von 2003 bis 2013 Bun- 
desdatenschutzbeauftragter, vermutete, 
dass niemand die „tatsächliche Reich- 
weite dieser Einwilligung überschauen” 
kann. Dabei mache man sich mit der Er- 
laubnis „wirklich nackig“. Er fürchtet, 
dass so umfassende Persönlichkeitsprofi- 
le entstehen - zum Nachteil der Verbrau- 
cher: „Wenn jemand sich an irgendwel- 
chen Online-Wetten beteiligt, dann wird 
das sich sicherlich nicht positiv auf die 
Bonität auswirken“. Der Kunde bekäme 
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womöglich nicht nur keinen Handyver- 
trag, sondern „auch keinen Versiche- 
rungsvertrag oder keinen Kredit”. Thilo 
Weichert, bis 2015 Datenschutzbeauf- 
tragter des Landes Schleswig-Holstein, 
fand das ebenfalls „hochproblematisch”. 
Die hochsensiblen Daten würden hier 
ausschließlich im Unternehmensinteres- 
se verwendet, ohne dass der Betroffene 
das nachvollziehen könne: „Das ist für 
mich tatsächlich ein Horror.” 

Klaus Müller, Vorstand des Verbrau- 
cherzentrale Bundesverbands, warf der 
Schufa „Kontoschnüffelei” vor. „Eine 
solch tiefe Datenauswertung der Konto- 
bewegungen für Scoringzwecke erlaubt 
Rückschlüsse auf Persönlichkeit, wirt- 
schaftlichen Status und selbst politische 
Orientierungen der Kunden und führt 
damit letztlich zum vollkommen durch- 
leuchteten Verbraucher.” Man prüfe 
rechtliche Schritte für den Fall, dass die 
Auskunftei diese Pläne umsetzt. 


Erweitertes Schufa-Geschäftsmodell 


Die Pläne der Schufa gehen weit über 
das hinaus, was die Schufa bisher macht. 
Sie selbst sagt, dass sie weder das Ein- 
kommen noch das Vermögen der Men- 
schen kenne. Mit dem Blick aufs Konto 
oder mithilfe der „Datenspende”, die 
über das kleine anzuklickende Kästchen 
eingeholt werden könnte, würde sich das 
schlagartig ändern. Interne Unterlagen 
und Auftritte in den vergangenen Mona- 
ten lassen vermuten, was die Schufa seit 
Ende Dezember 2018 vorhat, indem sie 
FinAPI kaufte. Das Münchener Start-up 
bringt einen großen Vorteil mit sich: Es 
hat eine Lizenz der Finanzaufsicht Ba- 
fin fürs Lesen von Konten, was aufgrund 
der sog. europäischen PSD-2-Richtlinie 
rechtlich möglich ist. Bereits vor dem 
Zukauf, so zeigt es ein Dokument, spielte 
man mit dem Gedanken einer kontinuier- 
lichen Kontoeinsicht sowie einer regel- 
mäßigen Übertragung und Speicherung 
der Daten bei der Schufa zur „Berech- 
nung von Scores bei jeder Anfrage”. 

In einer Präsentation von 2019 wird es 
konkreter. Dort listet die Schufa unter 
dem Punkt „aktuelle Produktentwick- 
lungsansätze” einige Vorschläge auf: 
„Neue Scores, Ergänzung bestehender 
Scores um zusätzliche Indikatoren, zu- 
dem Kontoführungsscores, integrierte 
Scores, diverse Affinitätsscores”. Dies 


bedeutet, dass die Schufa die Vorlieben 
der Verbraucher erkennen und bewerten 
könnte. 

Fast zwei Jahre später, am 04.11.2020, 
ging das Projekt „Schufa Check Now” als 
Webseite online, inklusive des kleinen 
Kästchens zur freiwilligen Einwilligung 
in eine Datenspende. Während sich 
Schufa-Mitarbeiter einen Tag vor dem 
Pilotstart zumailten: „Drückt uns die 
Daumen, dass die Lösung fliegt”, waren 
die zuständigen Landesdatenschützer in 
Bayern noch ahnungslos. Sie erfuhren 
von dem Test erst am Tag, nachdem die 
Seite online gegangen ist; das Bayeri- 
sche Landesamt für Datenschutzaufsicht 
prüft nun den Sachverhalt. Der Leiter 
der Behörde, Michael Will, zeigte sich 
skeptisch, beispielsweise, ob diese Kom- 
bination der Firmen „so legitim, so hin- 
nehmbar” sei. Seien es doch „zwei unter- 
schiedliche Geschäftsmodelle, mit denen 
wir es hier zu tun haben“. 

Auf Anfrage teilte Telefönica/02 zu- 
nächst mit, man teste „lediglich in ei- 
nem Pilotprojekt“ mit einer geringen 
Zahl von Nutzern die Akzeptanz für ein 
solches Verfahren. Die Teilnahme sei 
freiwillig. Datenschutzrechtlich verant- 
wortlich sei die Schufa. 

Die Schufa verwies zu rechtlichen Fra- 
gen auf eine Pressemitteilung, wonach 
die Einwilligung für „Schufa Check Now” 
ebenso wie die weitere Verarbeitung von 
Daten freiwillig sei. Eine Datenverarbei- 
tung der Kontoauszüge finde zudem nur 
statt, „wenn der Verbraucher - und zwar 
ausdrücklich und unabhängig von der 
eigentlichen Dienstleistung - eine geson- 
derte Einwilligung” erteile. Welchen Vor- 
teil Kunden von einer solchen Datenspen- 
de haben, die nichts mit der Dienstleis- 
tungzutunhat, erklärte dieSchufanicht. 


« Rückzug 


Nachdem Medien über den Test kri- 
tisch berichtet hatten, ruderten alle 
Testbeteiligten zurück: „Dabei flie- 
ßen aktuell noch keine Daten”, sagte 
Schufa-Vorstandsmitglied Ole Schrö- 
der. Schröder war, bevor er zur Schufa 
gegangen war, Staatssekretär im Bun- 
desinnenministerium. Und Telefönica/ 
02 erklärte am Tag nach der Medienbe- 
richterstattung: „Die Ergebnisse dieses 
Tests haben unsere Erwartungen leider 
nicht erfüllt. Daher hat Telefönica/02 
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heute beschlossen, den Test zu been- 
den und das "CheckNow “-Verfahren der 
Schufa nicht mehr länger zu nutzen.” 

An dem Pilotprojekt hatten demnach 
etwa 100 Menschen freiwillig teilge- 
nommen. Dazu mussten sie der Schufa 
ausdrücklich einen Auftrag erteilen. 
Der Konzern betonte: „Das Verfahren 
bietet die Schufa den Verbrauchern in 
komplett eigener datenschutzrechtli- 
cher Verantwortung an.” Die genutzten 
Kontoinformationen seien nicht gespei- 
chert worden. 

Schufa-Vorstand Schröder betonte: 
„sensible Daten wie beispielsweise die 
Bezahlung einer Arztrechnung werden 
automatisch herausgefiltert und dürfen 
nicht verarbeitet werden.” Die gespei- 
cherten Kontodaten beschränken sich 
nach Auskunft des Unternehmens aus- 
schließlich auf relevante Daten zur Bo- 
nitätsbewertung und Betrugsbekämp- 
fung. Mit der freiwilligen Daten-Spei- 
cherung könne der Verbraucher weitere 
zukünftige Kontozugriffe durch Dritte 
vermeiden und seine Daten dennoch für 
ihn vorteilhaft in eine Schufa-Bonitäts- 
bewertung einfließen lassen. Die Konto- 
analyse finde nur einmal bei der Schufa 
statt: „Ziel ist es, dass Verbraucher von 
aktuellen positiven Kontoinformatio- 
nen auch für zukünftige Transaktionen 
und Bonitätsabfragen profitieren kön- 
nen. Die Daten sind dadurch aktueller, 
und wir erfüllen so auch Forderungen 
von Verbraucherschützern.“ Für Ver- 
braucher, die keinen Auftrag zum Ein- 
blick ins Konto erteilten, bleibe es bei 
der klassischen Bonitätsprüfung. „Fällt 
die Bewertung nach den Kontodaten 
negativ aus, kann der Verbraucher sei- 
ne Einwilligung widerrufen.” Es bleibe 
dann bei der klassischen Bonitätsprü- 
fung. „Aus unserer Sicht ist es für Ver- 
braucher besser, die Schufa sammelt als 
neutrale Instanz die Daten treuhände- 
risch, als Unternehmen, die damit un- 
mittelbar Geschäfte machen.” 


° Zahlungsdiensterichtlinie PSD 2 


Seit Einführung der Zweiten EU-Zah- 
lungsdiensterichtlinie (PSD2) und de- 
ren nationaler Umsetzung im Zahlungs- 
diensteaufsichtsgesetz (ZAG) ist es 
möglich, dass Drittanbieter wie Finanz- 
Start-ups Einblick auf Konten bekom- 
men können. Voraussetzung ist, dass 
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der Kunde dem zustimmt. Die Schufa 
hatte für derartige Aktivitäten den 
Münchner Kontoinformationsdienst Fi- 
nAPI GmbH gekauft. Schröder zufolge 
handelt es sich bei dem Vorhaben um ein 
in Europa inzwischen gängiges Verfah- 
ren, „das auch andere Auskunfteien seit 
geraumer Zeit einsetzen”. Die Schufa sei 
ständig in enger Abstimmung mit den 
Datenschutzbehörden. „Sie wurden vor 
dem Test informiert, zustimmen müssen 
die Datenschützer nicht.” 

Ein Sprecher des Bundesjustizminis- 
teriums sagte, dieses neue Geschäfts- 
modell werfe rechtliche Fragen auf. 
Daher werde sich das Ministerium, das 
davon erst jetzt erfahren habe, dies 
„genau anschauen”. Schließlich gehe 
es hier um „besonders sensible Daten”, 
und die Verbraucher müssten stets in 
der Lage sein zu verstehen, wofür sie je- 
weils ihre Einwilligung erteilen. 

Die Grünen-Politiker Tabea Rößner 
und Konstantin von Notz kritisierten, 
die Schufa habe bereits heute Zugriff 
auf weitreichende Informationen über 
die Verbraucher, „die selbst nach wie 
vor nicht nachvollziehen können, wie 
und auf welche Weise diese Daten für 
den persönlichen Score gewichtet wer- 
den“. Der stellvertretende FDP-Frakti- 
onsvorsitzende Stephan Thomae sag- 
te, es sei alarmierend, dass die Schufa 
Kontoauszüge der Verbraucher durch- 
leuchten wolle: „Für niedrigere Preise 
und mehr Möglichkeiten im Rechtsver- 
kehr sollen die Bürger mit ihren Daten 
bezahlen.“ Wenn Bürger am Ende nur 
durch die Einwilligung in diese Daten- 
verarbeitung durch die Schufa einen 
Handy- oder Mietvertrag abschließen 
könnten, hätten sie faktisch keine freie 
Wahl mehr (Wischmeyer, Zeigt her eure 
Konten, SZ 27.11.2020, 17; CheckNow: 
Kritik an Schufa-Angebot zur Datennut- 
zung - Telefönica beendet Test, www. 
heise.de 28.11.2020, Kurzlink: https:// 
heise.de/-4973668). 


Bundesweit 


Generali bietet Gesund- 
heitsanalyse per Gesichts- 
scan 


Der private Krankenversicherer Gene- 
rali will im Jahr 2021 mit einer App auf 


den Markt kommen, die in zwei Minu- 
ten durch die Analyse der Blutgefäße 
im Gesicht die Sauerstoffsättigung des 
Blutes, Atem- und Herzfrequenz sowie 
die Herzfrequenz-Variabilität misst. 
Mit Hilfe eines Programms, das Verfah- 
ren der künstlichen Intelligenz nutzt, 
sollen die Daten analysiert und die Er- 
gebnisse auf dem Smartphone ablesbar 
gemacht werden. 

Für das Angebot hat sich die Gene- 
rali Deutschland mit dem israelischen 
Start-up Binah.ai und der Beratungs- 
firma SDG Group zusammengetan. Die 
Technik hinter der Untersuchung heißt 
„Remote Photoplethysmographie”. Ple- 
thys heißt auf Altgriechisch „Fülle“, 
„Graphie” heißt schreiben. Das Verfah- 
ren zeichnet kontaktlos mit der Kame- 
ra die Füllung der Blutgefäße auf. Eine 
ähnliche Technik verwendet bereits 
eine Reihe von Versicherern weltweit, 
zum Beispiel der chinesische Anbieter 
Ping An. Auf dem deutschen Markt wird 
die Generali mit der App, die vier wich- 
tige Parameter misst, voraussichtlich 
der erste Anbieter sein. Die App soll 
mit einem Angebot gebündelt werden, 
das „VitalSigns & Care” genannt wird. 
Kunden kaufen mit der App bei Generali 
Assistance-Dienstleistungen in der Ge- 
sundheitsfürsorge, Hilfe im Haushalt, 
bei Pflege und bei Reisen. Wie teuer das 
wird, steht noch nicht fest. Die App ist 
kein Medizinprodukt, sondern wird als 
„selbstüberwachungsinstrument” an- 
geboten. Deshalb benötigt die Generali 
dafür keine Zulassung durch das Bun- 
desinstitut für Arzneimittel und Medi- 
zinprodukte (BfArM). 

Mit dem System versucht die Ge- 
nerali, sich als Partner im Alltag der 
Kunden zu etablieren. Versicherer 
haben das Problem, dass außer beim 
Abschluss einer Police, der Prämi- 
enzahlung und einem möglichen 
Schaden sie kaum Kontakt zu ihren 
Kunden haben. Bei privaten Kran- 
kenversicherern beschränkt sich die 
Kommunikation auf die Einreichung 
von Rechnungen oder Rezepten und 
die Erstattung. Weil Online-Portale 
wie Check24 und Verivox auf dem Vor- 
marsch sind und auch die Internet- 
Giganten Amazon und Apple sich mit 
Finanzdienstleistungen und Versiche- 
rungen befassen, befürchten die Ver- 
sicherungsgesellschaften den Kontakt 
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zuihren Kunden ganz zu verlieren und 
zu reinen Zulieferern zu werden. 

Die Antwort der Versicherer heißt im 
Branchenjargon „Ökosystem“. Die Kun- 
den sollen durch umfassende Dienst- 
leistungen an die Gesellschaften gebun- 
den werden. Generali-Deutschlandchef 
Giovanni Liverani hat die Devise ausge- 
geben, dass seine Gesellschaft „Lifetime 
Partner“ der Kunden, deren lebenslanger 
Partner werden möchte. Dass dies kein 
einfaches Unterfangen ist, hat die Ge- 
nerali schon erfahren, als sie 2016 das 
in Südafrika entwickelte Versicherungs- 
programm Vitality auf den Markt ge- 
bracht hat: Eine App überwacht Fitness- 
aktivitäten und Einkaufsverhalten, als 
Belohnung gibt es Gutscheine von Adi- 
das oder Amazon und Nachlässe auf die 
Versicherungsprämie. Bislang scheint 
Vitality kein großer Erfolg zu sein; das 
Unternehmen weigert sich hartnäckig 
Nutzerzahlen zu nennen. 

Der Trend zu mehr gesundheitlicher 
Vorsorge verstärkt sich; dafür sorgt 
auch die Covid-19-Pandemie. Dabei 
spielen digitale Hilfsmittel eine immer 
größere Rolle. Uhren messen die Herz- 
frequenz und den Herzrhythmus, zahl- 
reiche Apps auf Smartphones helfen bei 
der Überwachung des eigenen Körpers. 
Eine repräsentative Umfrage der Ber- 
liner Marktforschungsfirma EPatient 
Analytics hat ergeben, dass 26% der 
Bevölkerung, die das Internet nutzen, 
über eine App zu den Themen Ernäh- 
rung, Sport und Entspannung verfügen 
oder an einem Online-Kurs teilgenom- 
men haben. Immerhin 14% - das sind 
9,8 Millionen Menschen - verfügen über 
eine App, mit der über das Mobiltelefon 
Puls, Blutdruck oder Hautveränderun- 
gen erfasst werden können. 

Die Generali rechnet sich Chancen 
wegen ihrer besonderen Technik aus. 
Allerdings ist der Markt stark in Bewe- 
gung. Private und gesetzliche Kranken- 
versicherer arbeiten an Lösungen, um 
die Kunden digital zu unterstützen. Im 
Dezember 2019 ist das „Gesetz für eine 
bessere Versorgung durch Digitalisie- 
rung und Innovation” in Kraft getreten, 
nach dem Ärzte Gesundheits-Apps ver- 
schreiben dürfen. Die fünf ersten Apps 
hat das BfArM inzwischen zugelassen. 
Die Generali wird keine Zulassung su- 
chen (Fromme, Ein Blick in die Augen, 
SZ 24.11.2020, 18). 
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Hessen 


Alexander Roßnagel zum 
Datenschutzbeauftragten 
gewählt 


Der hessische Landtag hat am 
10.12.2020 den Juristen Professor Ale- 
xander Roßnagel mit großer Mehrheit 
zum Datenschutzbeauftragten gewählt. 
Roßnagel soll von März 2021 an als ein 
ausgewiesener Datenschutzfachmann 
der „Hüter des Grundrechtes auf infor- 
mationelle Selbstbestimmung” in dem 
Bundesland werden. Neben den Re- 
gierungsfraktionen von CDU und Grü- 
nen stimmten auch die FDP, die Linke 
und die AfD für ihn. Die SPD-Fraktion 
enthielt sich. Sie hatte im Vorfeld mo- 
niert, dass Schwarz-Grün den Nach- 
folger für den Amtsinhaber Michael 
Ronellenfitsch im Alleingang bestimmt 
und nur einen Kandidaten vorgeschla- 
gen habe. Ronellenfitsch hatte seit 17 
Jahren die Position inne und hält damit 
bundesweit einen Rekord. 

Roßnagel lehrt aktuell als emeritier- 
ter Professor für öffentliches Recht, 
Recht der Technik und des Umwelt- 
schutzes an der Universität Kassel. Er 
leitet dort schon seit Jahren die Pro- 
jektgruppe verfassungsverträgliche 
Technikgestaltung (Provet) und ist Di- 
rektor des Wissenschaftlichen Zentrums 
für  Informationstechnikgestaltung. 
Der 70-Jährige ist zudem Sprecher des 
Forschungsverbunds Forum Privatheit, 
den das Bundesforschungsministerium 
fördert. Roßnagel erklärte nach seiner 
Wahl: „Die zunehmende Digitalisierung 
aller Lebensbereiche führt zu immer in- 
tensiveren Verarbeitungen personenbe- 
zogener Daten und damit zu Eingriffen 
in die informationelle Selbstbestim- 
mung.” Zugleich werde es so schwerer, 
Risiken für Grundrechte zu erkennen 
und sich gegen Eingriffe in Grundrechte 
zu wehren. Während die Daten verarbei- 
tenden Stellen in Wirtschaft und beim 
Staat immer mehr über die Bürger wüss- 
ten, werde die Datenverarbeitung für 
diese immer intransparenter. 

In seiner neuen Rolle will Roßnagel 
mit seiner unabhängigen Behörde so- 
weit wie möglich für Schutz und Macht- 
ausgleich sorgen. In einer technikge- 
prägten Welt gelinge dies am effektivs- 


ten, wenn der Datenschutz bereits in 
den informationstechnischen Systemen 
eingebaut sei; er plädiert für Privacy by 
Design. Was an Grundrechtseingriffen 
technisch gar nicht erst möglich sei 
brauche nicht mehr verboten, verfolgt 
und sanktioniert zu werden. Es sei wich- 
tig Transparenz über die Verarbeitung 
personenbezogener Daten herzustellen 
sowie Datenverarbeiter, Betroffene und 
die Öffentlichkeit über Risiken, Vorga- 
ben, Garantien und Rechte aufzuklären 
und zu sensibilisieren. Mit seinen bishe- 
rigen Tätigkeiten will er eng verbunden 
und beim „Forum Privatheit” an Bord 
bleiben, eine enge Kooperation zwi- 
schen Forschung und Aufsichtsbehör- 
den sei „wichtig und notwendig“. 

Roßnagel prägt seit Jahrzehnten die 
hiesige Debatte über die Privatsphäre. 
2001 legte er zusammen mit dem 2010 
verstorbenen Dresdner Informatikpro- 
fessor Andreas Pfitzmann sowie dem frü- 
heren Berliner Beauftragten für Daten- 
schutz und Akteneinsicht, Hansjürgen 
Garstka, ein in Fachkreisen vielbeachte- 
tes Gutachten im Auftrag des Bundesin- 
nenministeriums zur Reform des Bundes- 
datenschutzgesetzes vor. Datenschutz 
durch Technik und ein Recht auf anony- 
men Internetzugang waren schon damals 
Stichworte. Der damalige Innenminister 
Otto Schily (SPD) ließ das Werk aberrasch 
in der Schublade verschwinden. 

Roßnagel wirbt für einen besseren 
Schutz vor Profiling und für einen ein- 
heitlichen Beschäftigtendatenschutz. 
Bei der Datenschutz-Grundverordnung 
(DSGVO) machte er sich wiederholt für 
Korrekturen stark. Jüngst bezeichnete 
er die Corona-Warn-App als gute Mög- 
lichkeit, um die Gesundheit zu schüt- 
zen und Freiheitsbeschränkungen zu 
lockern. Zugleich mahnte er auch im 
Kampf gegen die Pandemie das Sam- 
meln und Analysieren von Massendaten 
auf ein Minimum zu beschränken. 

Der Grünen-Fraktionschef Mathias 
Wagner freute sich über die Wahl. Bei sei- 
ner Vorstellung sei erkennbar gewesen, 
dass Roßnagel „die vielschichtigen As- 
pekte des Themas nicht nur bearbeiten, 
sondern auch weiterentwickeln will”. Er 
knüpfe „damit an die große Tradition 
an, die Hessen beim Thema Datenschutz 
hat”. In dem Bundesland wurde vor 50 
Jahren in einer weltweiten Premiere ein 
Datenschutzgesetz beschlossen. Auch 
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der Datenschutzexperte der FDP-Frak- 
tion, Jörg-Uwe Hahn, freute sich: „Wir 
wollen die Digitalisierung zum Nutzen 
der Menschen gestalten, nicht um sie zu 
überfordern, zu kontrollieren oder gar 
zu manipulieren. Hier ist ein scharfes 
juristisches Auge sehr wichtig” (Krem- 
pl, Hessen: Privacy-Experte Roßnagel 
wird Landesdatenschutzbeauftragter, 
www.heise.de 12.12.2020, Kurzlink: 
https://heise.de/-4987739). 


Hessen 


Tegut etabliert kassierer- 
lose Kleinstshops 


Die Handelskette Tegut mit Sitz in Ful- 
da hat am 05.11.2020 testweise einen 
Supermarkt eröffnet, der ohne Personal 
auskommt und rund um die Uhr geöff- 
net ist. In der osthessischen Stadt ist 
der kleine Laden mit 50 Quadratmeter 
Verkaufsfläche aufgebaut worden, in 
dem es 950 Produkte für den täglichen 
Bedarf gibt. Den Zugang verschaffen 
sich die Kunden, indem sie eine App des 
Unternehmens herunterladen; mit ei- 
nem QR-Code verschafft man sich dann 
Eintritt. Mit der App lässt sich auch 
zahlen, außerdem ist es mit Kreditkar- 
ten und der Girocard möglich. In jedem 
Fall müssen die gekauften Produkte ge- 
scannt werden. Der kleine Laden wird 
mit mehreren Kameras und 3D-Sensoren 
überwacht. 

Die Handelskette Tegut, die zum 
schweizerischen Migros-Konzern ge- 
hört, unterhält vorwiegend in Hessen 
und Thüringen 270 konventionelle Su- 
permärkte, die stärker als die anderer 
Ketten auf Bioprodukte und regionale 
Waren ausgerichtet sind. Mit den auto- 
matisierten Läden, die als „tegut... teo” 
firmieren, will man neue Kundenkreise 
erschließen, die auf dem Weg zur Arbeit 
oder nach Hause ohne viel Aufwand ein- 
kaufen wollen, wonach ihnen gerade 
ist. Das Konzept sei „die stationäre Ant- 
wort auf Onlineshopping”. 

Von „Einkaufen ohne Planung, An- 
fahrtswege, Zeitverlust” ist in einer 
Pressemitteilung des Unternehmens die 
Rede. Tegut möchte eine Reihe solcher 
Geschäfte etablieren, die unter ande- 
rem in „städtischen Zwischenräumen” 
aufgestellt werden sollen, etwa an Ver- 
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kehrsknotenpunkten, vor öffentlichen 
Einrichtungen oder auch auf dem Gelän- 
de größerer Unternehmen, in Neubau- 
gebieten, vor Kliniken und Universitä- 
ten, auf Firmengeländen - überall dort, 
wo der klassische Supermarkt zu groß 
ist. Bis Ende 2021 sind bis zu zehn „te- 
gut... teo“-Geschäfte geplant (Köhler, 
Ein Supermarkt ohne Kassierer, www. 
faz.net 05.11.2020; Tegut testet Laden 
ohne Kassierer, SZ 06.11.2020, 24). 


Niedersachsen 


LfD untersagt Amazon au- 
tomatisierte Leistungskon- 
trolle 


Niedersachsens Chef-Datenschütze- 
rin Barbara Thiel untersagte Amazon 
teilweise die Nutzung einer zentralen 
Software, mit der die Mitarbeiter minu- 
tengenau überwacht werden können. 
Amazon will dagegen klagen. 

Im dritten Quartal des Jahres 2020 
hat Amazon fast 100 Milliarden Dol- 
lar Umsatz gemacht - eine Steigerung 
im Vergleich zum Vorjahresquartal um 
37%. Amazon zählt damit nicht nur zu 
den großen Gewinnern der Corona-Pan- 
demie, sondern auch zu den wertvolls- 
ten Unternehmen der Welt. Doch der 
Online-Gigant steht seit Jahren für den 
Umgang mit seinen Angestellten in der 
Kritik, insbesondere hinsichtlich ihrer 
Überwachung. 

Die niedersächsische Landesbeauf- 
tragte für den Datenschutz (LfD) Barba- 
raThiel beanstandete einige Funktionen 
der von Amazon eingesetzten Software, 
mit der die Leistung der Mitarbeiter of- 
fenbar permanent kontrolliert werden 
kann. Der Amazon-Arbeiter scanntjedes 
Teil, das er einlagert, heraussucht oder 
in ein Paket packt. Dieser Scan-Vorgang 
wird sekundengenau aufgezeichnet und 
einem Vorarbeiter angezeigt. So kann 
dieser jeden Arbeitsschritt der Beschäf- 
tigten überwachen und sehen, ob ein 
bestimmter Arbeiter auch genügend Pa- 
kete packt. Ein Vorarbeiter schilderte, 
wie er auf seinem Display sieht, wenn 
ein Mitarbeiter mal für wenige Minuten 
nicht arbeitet. 

Die LfD bestätigte, dass sie dem Ama- 
zon-Standort im niedersächsischen 
Winsen untersagt hat „ununterbrochen 


jeweils aktuelle und minutengenaue 
Quantitäts- und Qualitätsleistungs- 
daten ihrer Beschäftigten zu erheben 
und diese zu nutzen”. In Winsen steht 
eines der modernsten Amazon-Zentren 
in Europa. Amazon nutzt die Software 
bundesweit. Ein Amazon-Sprecher teil- 
te mit, dass man den Bescheid nicht ak- 
zeptiere: „Anders als die Behörde sind 
wir der Meinung, dass auch die Art und 
Weise der Datenerhebung rechtmäßig 
ist. Deshalb werden wir die Entschei- 
dung der Behörde gerichtlich überprü- 
fen lassen.” 

Der Kommentar von Andre Scheer von 
der Gewerkschaft ver.di: „Die Totalüber- 
wachung durch Amazon ist das genaue 
Gegenteil von guter und sicherer Ar- 
beit.” Für Scheer steht die permanente 
Kontrolle der Mitarbeiter im Zusammen- 
hang mit dem Beschäftigungsmodell bei 
Amazon. Gerade im Weihnachtsgeschäft 
stelle Amazon Tausende Arbeiter befris- 
tet ein: „Da wird dann ausgesiebt.” Nur 
die Schnellsten dürften bleiben oder 
wiederkommen. Die Folge: Der Druck 
auf alle Beschäftigten steige und damit 
auch die Angst unter den Beschäftigten 
negativ aufzufallen. 

Ein Vorarbeiter bestätigte diese Pra- 
xis. Sieht er, dass die Rate eines Mitar- 
beiters fällt, soll er eingreifen: „Dann 
gehe ich dahin, gucke, ist der Mit- 
arbeiter da, und schaue: Was ist das 
Problem? Unterhält er sich vielleicht 
zu lange, ist er nicht am Platz, zu oft 
auf der Toilette?” Der Vorarbeiter be- 
richtete auch, dass durch die Software 
detaillierte Profile jedes einzelnen 
Beschäftigten erstellt werden. Fällt 
die Rate eines Beschäftigten dauer- 
haft, werde dieser zum Gespräch ge- 
beten. Ob ein befristet Beschäftigter 
eine Vertragsverlängerung bekommt, 
hängt dem Vorarbeiter zufolge auch 
davon ab, ob er die Rate erfülle. Der 
Umweltorganisation Greenpeace lie- 
gen Dokumente vor, die diese Darstel- 
lung untermauern. 

Amazon teilte dazu mit: „Wir bieten 
gute Bezahlung und eine Arbeitsumge- 
bung, in der Menschen erfolgreich sind, 
ihren Karriereweg finden und Kunden 
zufrieden stellen.” Ob Amazon für den 
Einsatz der Software zusätzlich auch 
ein Bußgeld zahlen muss, ist noch nicht 
entschieden. Die Behörde in Nieder- 
sachsen geht allerdings davon aus, dass 
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auch in diesem Sinn ein Verfahren ein- 
geleitet werde (Friedrich/Jolmes, Ver- 
fahren gegen Amazon, www.tagesschau. 
de 01.12.2020). 


Niedersachsen 


10,4 Mio. Geldbuße gegen 
notebooksbilliger.de wegen 
Videoüberwachung 


Die Landesbeauftragte für den Daten- 
schutz (LfD) Niedersachsen hat Anfang 
Januar 2021 eine Geldbuße in Höhe von 
10,4 Mio € gegenüber der notebooksbil- 
liger.de AG ausgesprochen, weil das Un- 
ternehmen über mindestens zwei Jahre 
seine Beschäftigten illegal per Video 


überwachte. Die unzulässigen Kameras 
erfassten unter anderem Arbeitsplätze, 
Verkaufsräume, Lager und Aufenthalts- 
bereiche. Das Unternehmen rechtfer- 
tigte die Überwachung mit der Verhin- 
derung und Aufklärung von Straftaten 
sowie der Kontrolle des Warenflusses in 
den Lagern. Bei notebooksbilliger.de 
war keine Beschränkung der Videokon- 
trolle auf einen bestimmten Zeitraum 
oder konkrete Beschäftigte erfolgt, wie 
es gesetzlich bei der Straftatbekämp- 
fung gefordert wird. Die Aufzeichnun- 
gen wurden in vielen Fällen 60 Tage und 
damit deutlich länger als erforderlich 
gespeichert. 

Gemäß der LfD Barbara Thiel genügt 
ein Generalverdacht nicht: „Wir haben 
es hier mit einem schwerwiegenden Fall 


Datenschutznachrichten aus dem Ausland 


Weltweit 


Amazon schnüffelt gegen 
Kritiker von innen und 
außen 


Amazon treibt hohen Aufwand, um 
eigene Mitarbeiter, Gewerkschafter und 
soziale Bewegungen zu überwachen. 
Auch Vertragspartner, Diebe, Drogen- 
dealer und Umweltschützer sind im 
Visier, selbst wenn sie gar nichts mit 
Amazon zu tun haben. Laut einer Kon- 
zernsprecherin geschieht das alles legal 
und mit Wissen der örtlichen Behörden: 
„Jeder Versuch diese Aktivitäten aufzu- 
bauschen oder zu unterstellen, dass wir 
etwas Ungewöhnliches oder Falsches 
tun, ist unverantwortlich und falsch.” 

Die US-Webseite „Motherboard“ hatte 
mehr als zwei Dutzende interne Berich- 
te Amazons zugespielt bekommen, de- 
ren Echtheit Amazon nicht bestreitet. 
Demnach verzeichnet Amazon nicht nur 
öffentliche Aktionen, vom Verteilen von 
Flugblättern bis zum Streik, genau mit 
Zeitpunkt, Ort und Zahl der Teilnehmer, 
sondern auch nicht-öffentliche Treffen 
von Arbeitnehmern mit Gewerkschaf- 
tern. Wichtige Informationsquellen 
sind Äußerungen in sog. Sozialen Netz- 
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werken, sei es von Mitarbeitern oder 
Außenstehenden. Dabei bedient sich 
Amazon der Dienstleistungen Dritter, 
die sich Zutritt zu geschlossenen Foren 
verschaffen. Die Betroffenen werden da- 
rüber freilich nicht informiert; Amazon 
ist daran gelegen diese Schnüffelei ge- 
heim zu halten. 

Beschwerden von Mitarbeitern wer- 
den ebenso erfasst wie Diebstähle. 
Zusätzlich wird die Kriminalität in der 
Region untersucht. Motherboard nennt 
als Beispiel den Drogenhandel. Amazon 
möchte wissen, ob der den eigenen Be- 
trieb stören könnte und ob Amazon-Mit- 
arbeiter selbst Drogen nehmen könnten. 
Unter dem Punkt „Betriebsumgebung” 
werden unter anderem politische Ereig- 
nisse analysiert, wie zum Beispiel die 
Gelbwesten-Bewegung in Frankreich 
oder eine Demonstration in Wien, die 
gegen die Politik der Regierung des Iran 
gerichtet war. Gleichzeitig hat Amazon 
besonderes Interesse an Umweltschüt- 
zern. So wird der Erfolg Amazon-kriti- 
scher Greenpeace-Videos an Likes und 
Weiterverbreitungsstatistiken gemes- 
sen. Amazon nimmt auch die von Greta 
Thunberg inspirierte Bewegung Fridays 
For Future als Bedrohung wahr. Sie ge- 
winnt „an Einfluss insbesondere aufjun- 
ge Menschen und Studenten” und „zieht 


der Videoüberwachung im Betrieb zu 
tun. Sie kann nach der Rechtsprechung 
des Bundesarbeitsgerichts dazu führen, 
dass die Betroffenen den Druck empfin- 
den sich möglichst unauffällig zu be- 
nehmen, um nicht wegen abweichender 
Verhaltensweisen kritisiert oder sankti- 
oniert zu werden.” Auch Kundinnen und 
Kunden von notebooksbilliger.de waren 
von der unzulässigen Videoüberwa- 
chung betroffen; einige Kameras waren 
auf Sitzgelegenheiten im Verkaufsraum 
gerichtet. Dort halten sich Menschen 
oft länger auf, zum Beispiel um die an- 
gebotenen Geräte zu testen (Presseer- 
klärung der LfD Nds. V. 08.01.2021, LfD 
Niedersachsen verhängt Bußgeld über 
10,4 Millionen Euro gegen notebooks- 
billiger.de). 


immer mehr Menschen schnell an”, wie 
es in einem der Dokumente heißt. 
Detektive werden ebenfalls einge- 
setzt, nach Angaben Amazons zum 
Schutz von Werttransporten. Aus den 
Dokumenten geht hervor, dass De- 
tektive in ein polnisches Lager eines 
Amazon-Dienstleisterss eingeschleust 
wurden. Sie sollten Vorwürfen unpas- 
sender Einstellungsverfahren nachge- 
hen, konnten diese aber nicht erhärten 
(Sokolov, Amazon überwacht Gewerk- 
schaftler, Greenpeace und Greta-Fans, 
www.heise.de 25.11.2020, Kurzlink: 
https://heise.de/-4970229). 


Weltweit 


Clubhouse und der 
Datenschutz 


Die Social-Audio-App Clubhouse - die 
zunächst nur als sogenannte Beta-Ver- 
sion ausgeliefert wurde - erfreut sich 
von Anbeginn großen Zuspruchs. Die 
App versucht die Intimität von Cluba- 
benden zu suggerieren. Dabei ist sie un- 
kontrollierbar öffentlich. 

Das musste etwa Thüringens Minis- 
terpräsident Bodo Ramelow (Die Lin- 
ke) erfahren, der sich am 22.01.2021 
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in einem Clubhouse-Talk wohl wie an 
einer Hotelbar fühlte und angeregt 
plauderte, wobei ihm gleich mehre- 
re Fauxpas unterliefen: Er nannte die 
Bundeskanzlerin „Merkelchen” und 
war veranlasst sich dafür später zu ent- 
schuldigen. Zum anderen offenbarte 
er, dass er während der langen Bund- 
Länder-Beratungen zur Coronakrisen- 
bekämpfung gelegentlich das Handy- 
Spiel Candy Crush zockt. Für ihn war es 
ein Kommunikationsdesaster. 

Die Beliebtheit der App führte dazu, 
dass sie Anfang 2021 eine Woche lang 
auf Platz eins in Apples App-Store 
stand. Nur iPhone-Besitzer konnten sie 
zunächst nutzen. Besitzer von Android- 
Smartphones bleiben vorerst außen vor. 
Die beiden Firmengründer Paul Davison 
und Rohan Seth kündigten aber an, 
dass die App künftig auch auf Smart- 
phones mit dem Google-Betriebssystem 
zu finden sein wird. Dann können auch 
die nach Milliarden zählenden Android- 
Nutzer drauflos erzählen. 

Zutritt zum Clubhouse bekommt man 
nur, wenn man von einem Teilnehmer 
eingeladen wird. Jeder neue Nutzer 
darf zwei Einladungen an seine Freun- 
de verschicken. Wer zu diesem exklu- 
siven Kreis gehört, kann dann unter 
hunderten Konferenzen aussuchen, die 
parallel stattfinden und auch zwischen 
den Talks wechseln. Annabel Oelmann, 
Vorständin der Verbraucherzentrale 
Bremen, erklärte, man müsse sich Club- 
house vorstellen wie eine kleine Talk- 
show - nur ohne Bilder. Die App ist eine 
reine Audioplattform, in der die Nutzer 
und Nutzerinnen „Rooms“ oder „Räu- 
me“ erstellen, innerhalb dieser man mit 
allen reden und diskutieren kann. 

Unterihnen sind Promis, Politikerund 
Journalisten. Oelmann empfiehlt, bei all 
dem Hype eine grundsätzliche Vorsicht 
in puncto Datenschutz nicht abzulegen: 
Bei der Registrierung müssen die Nutzer 
den Zugriff auf alle gespeicherten Kon- 
takte erlauben. Nur dann darf man Ein- 
ladungen an seine Freunde verschicken: 
„So besteht die Gefahr, dass Schatten- 
profile erstellt und zu Werbezwecken 
genutzt werden.” Dies sei aber nach 
Artikel 14 der Datenschutz-Grundver- 
ordnung (DSGVO) nicht zulässig, da die 
betroffenen Kontakte nicht vorab über 
die Nutzung ihrer persönlichen Daten 
informiert werden. 
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Ein weiterer Kritikpunkt der Verbrau- 
cherschützerin ist, dass alle Gespräche 
temporär aufgezeichnet werden können, 
wenn etwa während des Live-Gesprächs 
ein Regelverstoß gemeldet wird: „Wer 
dann aber Zugriff auf die Gesprächsin- 
halte bekommt und wer und wann über 
die Löschung der Gespräche entscheiden 
wird, bleibt im Dunkeln.” Zudem sam- 
melt Clubhouse Daten, um Kommunika- 
tionsprofile zu erstellen, also etwa Infor- 
mationen darüber, mit welchen Accounts 
und Gruppen man sich austauscht, wie 
oft und wie lange man aktiv ist und zu 
welchen Tageszeiten. 

Die Datenschutzbestimmungen von 
Clubhouse sind, so Oelmann, nicht klar 
formuliert: „Es bleiben viele Fragen of- 
fen, welche Daten für welche konkreten 
Zwecke erhoben und verarbeitet wer- 
den.” Das aber sollte nach dem daten- 
schutzrechtlichen Transparenzgebot 
selbstverständlich sein. Ihre Schlussfol- 
gerung: Clubhouse sei eine Datenkrake. 
Wer die App nutze, zahle dafür nicht nur 
mit den eigenen persönlichen Daten, 
sondern gebe auch die persönlichen Da- 
ten von Familie, Freunden und Bekann- 
ten preis. Oder eben, was man so treibt 
in der Ministerpräsidentenrunde bei 
der Kanzlerin (Scholtes, Clubhouse und 
die Sache mit dem Datenschutz, www. 
dw.com/de/ 26.01.2021). 


USA - Weltweit 


Facebook agitiert gegen 
Apples Tracking-Opt-in 


Hunderte Millionen iPhone-Besitzer 
werden bald nach ihrer Einwilligung 
gefragt, bevor Apps bestimmte Daten 
sammeln dürfen. Das versetzt Facebook 
in Panik. Glaubt man Facebook, geht es 
um das Schicksal von Millionen kleinen 
Unternehmen, ja mehr als das: die Zu- 
kunft des Netzes stehe auf dem Spiel. 
Nutzerinnen und Nutzern von Apple- 
Anwendungen wird bald ein unschein- 
barer Dialog präsentiert werden, in dem 
bei ihnen nachfragt wird, ob Apps ihre 
Daten sammeln dürfen. 

In mehreren Blogeinträgen und ganz- 
seitigen Anzeigen in großen US-Medien 
inszenierte sich Facebook als Retter des 
„freien Internets” und Fürsprecher klei- 
ner und mittelständischer Unterneh- 


men (KMUs). Auf einer eigens einge- 
richteten Kampagnenseite sollen Hote- 
liers, Friseure, Restaurantbesitzerinnen 
und andere angeblich Betroffene ihre 
Stimme gegen Apple erheben und auf 
die dramatischen Folgen aufmerksam 
machen. Juni 2020 hatte das „App Tra- 
cking Transparency“-Framework (ATT) 
angekündigt, dass Entwicklerinnen und 
Entwickler um Erlaubnis fragen müssen, 
bevor sie User quer über andere Apps 
und Webseiten hinweg verfolgen. Wer 
das nicht will, muss bislang aktiv wider- 
sprechen. 

Apple verhindert also standardmä- 
Riges Tracking und macht daraus eine 
Opt-in-Option, so wie dies die europä- 
ische Datenschutz-Grundverordnung 
auch gesetzlich verlangt. Es braucht 
die ausdrückliche Zustimmung der Nut- 
zenden, bevor ihnen eine individuelle 
Werbe-Identifikationsnummer zuge- 
wiesen werden darf. Das hat erhebliche 
Auswirkungen. Der Mensch ist ein Ge- 
wohnheitstier, was Unternehmen bisher 
im Netz gnadenlos ausnutzen: Nur ein 
Bruchteil der Nutzerinnen und Nutzer 
beschäftigt sich mit den Voreinstellun- 
gen der Dienste und Apps, die sie instal- 
lieren. Die Standardkonfiguration bleibt 
unangetastet, und die lautet meist, 
dass alle Datenschleusen geöffnet sind. 

Wenn Webseiten Bestätigungsdialo- 
ge einblenden, sind die meist schwer 
verständlich bis manipulativ: Wollen 
Sie alle Cookies akzeptieren? Dann kli- 
cken Sie bitte auf diesen riesigen blau- 
en Knopf. Sie haben etwas dagegen? Na 
gut, hier sind 27 Haken, die Sie einzeln 
abwählen können. 

Derartige sog. Dark Patterns sollen 
Menschen dazu bringen, Dingen zuzu- 
stimmen, die sie gar nicht wollen. Der 
Dialog, den bald Hunderte Millionen 
iPhone-Besitzer sehen werden, soll 
nicht irreführend, sondern eindeutig 
sein. Darunter gibt es nur zwei gleich 
große Optionen: „Ask App not to Track“ 
oder „Allow“. Die genauen deutschen 
Übersetzungen sind noch nicht be- 
kannt, sie dürften aber ähnlich unmiss- 
verständlich ausfallen. 

Die geplanten Änderungen versetzen 
nicht nur Facebook in Aufregung, sie 
bedrohen eine ganze Branche, die jedes 
Jahr Milliarden Dollar umsetzt. Werbe- 
netzwerke, Targeting-Firmen und An- 
bieter von Tracking-Technologie sehen 
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ihr Geschäftsmodell in Gefahr. Auch vie- 
le Entwicklerinnen und Entwickler inte- 
grieren Facebooks Software-Bausteine 
inihre Apps, sammeln darüber wertvolle 
Nutzungsdaten und blenden persona- 
lisierte Anzeigen ein. Gemeinsam mit 
Facebook, großen Verlagen und der 
Werbebranche protestierten sie gegen 
Apples Pläne. 

Der Widerstand zeigte Wirkung: Apple 
verschob den Start, woraufhin acht Or- 
ganisationen wie Amnesty International 
und die Electronic Frontier Foundation 
(EFF) einen offenen Brief schrieben, um 
ihrer Enttäuschung Ausdruck zu ver- 
leihen. Jane Horvath, die bei Apple für 
alle Entscheidungen zuständig ist, die 
Datenschutz betreffen, antwortete um- 
gehend: „Wir stehen weiter voll und ganz 
hinter ATT und unserem umfassenden 
Ansatz Privatsphäre zu schützen.” Apple 
habe den Entwicklern nur mehr Zeit ge- 
ben wollen, um ihre Apps anzupassen. 

Diese Schonfrist geht bald zu Ende. 
In Foren tauchen erste Screenshots 
auf, die den Bestätigungsdialog zeigen. 
Offenbar wird es Apple Entwicklern An- 
fang 2021 verbieten, ohne Einwilligung 
mithilfe einer Werbe-ID zu tracken. 
Für Apple-Chef Tim Cook ist die Sache 
gemäß einer Twitternachricht eindeu- 
tig: „Wir glauben, dass User selbst ent- 
scheiden sollten, welche Daten über sie 
gesammelt werden.” Facebook könne 
Nutzerinnen und Nutzer nach wie vor 
quer über Apps und Webseiten hinweg 
verfolgen. „ATT in i0S 14 verlangt bloß, 
dass sie davor um Erlaubnis fragen.” 

Wie glaubwürdig Cooks Bekenntnis 
für den Datenschutz ist, bleibt unklar: 
Zwar werden bei Apples Messenger- 
Dienst die Daten verschlüsselt übertra- 
gen. Doch wer eine Sicherheitskopie auf 
ApplesiCloud anlegt, muss auf den Kon- 
zern vertrauen, denn auch der hat dann 
einen Schlüssel. Die Entscheidung soll 
Gerüchten zufolge auf Betreiben des FBI 
zustande gekommen sein. 

Cook und Facebook-Chef Mark Zucker- 
berg verbindet eine innige Abneigung. 
Cook reibt Zuckerberg bei jeder Gele- 
genheit unter die Nase, wie wenig ervon 
Facebooks Geschäftsmodell hält: Daten 
sammeln, Nutzerprofile bilden und de- 
ren Aufmerksamkeit an Werbetreibende 
verkaufen, die personalisierte Anzeigen 
schalten können. Zuckerberg betont 
seinerseits, dass Facebook Milliarden 
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Menschen auf der ganzen Welt vernetze, 
die keinen Cent dafür zahlen müssten. 
Apple verkaufe hochpreisige Geräte an 
eine wohlhabende Elite. Cook solle sich 
nicht als Held aufspielen, der Menschen 
ihre Privatsphäre zurückgebe. 

Tatsächlich verdient Apple den Groß- 
teil seines Geldes mit Hardware. Das 
letzte Quartal 2020 war für Apple äu- 
Rerst erfolgreich: Apple verkaufte welt- 
weit mit 90,1 Mio. Stück am meisten 
Smartphones. Dagegen macht das An- 
zeigengeschäft fast 99% von Facebooks 
Umsatz aus. Der aktuelle Konflikt ist für 
Zuckerberg doppelt unangenehm: Zum 
einen trifft Apple Facebook an seiner 
wundesten Stelle. Zum anderen nutzt 
Cook genau die gleichen Wörter, mit de- 
nen Facebook sonst oft argumentiert: 
Kontrolle und Wahlfreiheit. Wir geben 
Nutzerinnen und Nutzern doch nur eine 
Wahl. Wer will, kann sich gern überwa- 
chen lassen. Wir geben Nutzerinnen 
und Nutzern doch nur eine Wahl, sagt 
Zuckerberg. Wer will, kann gern wider- 
sprechen. 

Deshalb versucht Facebook, das „freie 
Internet” und KMUs für seine Interessen 
zu instrumentalisieren. Viele Webseiten 
und Dienste sind nur deshalb gratis, weil 
sie sich durch Werbung finanzieren. Doch 
Apple will nicht Anzeigen per se verbie- 
ten, sondern nur das personalisierte Tra- 
cking. Werbung, die KMUs auf Facebook 
schalten, wäre wohl weniger zielgerichtet 
und effektiv, wenn viele Menschen dem 
Tracking widersprechen. Doch dass aus- 
gerechnet Facebook, das jahrelang mit 
Programmen wie Free Basics aktiv daran 
gearbeitet hat, das freie Netz durch ein 
Facebook-Internet zu setzen, sich nun 
als Bastion des freien Netzes aufspielt, ist 
zumindest verwunderlich. 

Das sehen nicht nur die Bürgerrecht- 
ler der EFF kritisch, sondern auch Fa- 
cebooks eigene Angestellte, die sich 
in internen Chats skeptisch äußern, so 
z.B. ein Entwickler: „Es fühlt sich an, als 
rechtfertigten wir es, dass wir schlechte 
Dinge tun, indem wir uns hinter Leuten 
verstecken, die mehr Mitgefühl auslö- 
sen.” Oder ein anderer Mitarbeiter: „Ma- 
chen wir uns keine Sorgen, dass uns das 
auf die Füße fällt, weil es so aussieht, 
als wolle Facebook nur sein eigenes Ge- 
schäft verteidigen?” 

Für Facebook steht viel auf dem Spiel. 
In den USA und Europa drohen Kar- 


tellklagen und scharfe Regulierung, 
die den Umsatz empfindlich schmälern 
könnten. Der neue US-Präsident Joe Bi- 
den gilt nicht als großer Facebook-Fan. 
Donald Trump wütete zwar gegen das 
Silicon Valley, handelte aber nur selten. 
Das könnte sich unter Biden ändern. Für 
Nutzerinnen und Nutzer sind die Ände- 
rungen dagegen aufjeden Fall eine gute 
Nachricht. Sie können sich mit einem 
Klick ein Stück ihrer Privatsphäre zu- 
rückholen. Und wer lieber personalisier- 
te Werbung sieht, kann dem Tracking ja 
zustimmen (Hurtz, Die große Angst vor 
einem kleinen Pop-up, SZ 28.12.2020, 
18; Martin-Jung, Facebooks neuer Erz- 
feind, SZ 29.01.2021, 23). 


EU-weltweit 


Geheimdienste kooperieren 
zwecks Brechen von 
Verschlüsselung 


Aus Dokumenten der deutschen EU- 
Ratspräsidentschaft, die bis Ende 2020 
dauerte, an die Mitgliedsstaaten geht 
hervor, dass die EU-Staaten künftig 
enger mit der angelsächsischen Ge- 
heimdienstallianz der „Five Eyes” zu- 
sammenarbeiten wollen, um sichere 
Verschlüsselung in digitaler Kommuni- 
kation zu umgehen. Als „Five Eyes“ ko- 
operieren die Geheimdienste der USA, 
Großbritanniens, Australiens, Neusee- 
lands und Kanadas miteinander. 

Die Formulierungen im Entwurf ei- 
nes EU-Papiers entsprechen denen ei- 
ner Erklärung der Geheimdienstallianz 
„Five Eyes“ sowie Indiens und Japans 
vom 11.10.2020, wobei jeweils der 
„rechtmäßige Zugriff auf verschlüssel- 
te Kommunikation” gefordert wird. Ein 
weiteres Papier aus dem EU-Ministerrat 
vom 16.11.2020 erhärtet den Verdacht 
eines abgestimmten Vorgehens: Das 
Dokument namens „Empfehlungen für 
den künftigen Umgang mit dem Thema 
Verschlüsselung” richtet sich an die 
EU-Mitgliedsstaaten und ist eine Art 
Handreichung. Unter Punkt sechs ist zu 
lesen, die Regierungen sollten sich zu 
dem Thema eng mit den Initiatoren des 
Papiers „End-to-End-Encryption and 
Public Safety” austauschen. Das ist jene 
Erklärung der Five-Eyes-Länder sowie 
Indiens und Japans, in der sie Unter- 
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nehmen wie Facebook auffordern, Staa- 
ten Zugang zu verschlüsselten Inhalten 
zu ermöglichen. 

Bis 2013 konnte die Five-Eyes-Allianz 
einen guten Teil der weltweiten Kommu- 
nikation abhören. Als dann der ehemali- 
ge NSA-Mitarbeiter Edward Snowden die 
Abhörpraktiken enthüllt hatte, fingen 
viele Anbieter von Messaging-Apps an, 
sich ernsthaft über den Schutz privater 
Kommunikation Gedanken zu machen. 
Sieben Jahre später ist sichere Ver- 
schlüsselung bei WhatsApp, Signal und 
anderen Messengern Standard. Zuletzt 
wurde bekannt, dass auch Google Ende- 
zu-Ende-Verschlüsselung (E2EE) in den 
RCS-Standard einbauen will, der Nach- 
folger der SMS werden soll. Dies ärgert 
Geheimdienste und Strafverfolgungsbe- 
hörden weltweit. Deshalb drängen sie 
auftechnische Lösungen, dieihnen den 
Zugriff auf die Kommunikation von Ver- 
dächtigen wieder ermöglichen würden. 

Dabei helfen, so das Statement der 
„Five Eyes” wie auch die Papiere der EU, 
soll eine Allianz aus Telekom-Anbietern, 
Tech-Unternehmen und Behörden. Un- 
klar ist jedoch, wie das gelingen soll 
ohne die Verschlüsselung insgesamt 
unbrauchbar zu machen. Experten be- 
tonen seit Jahren, dass es E2EE nur 
ganz oder gar nicht gibt. Bei der Me- 
thode werden Nachrichten am Anfang 
der Kommunikation auf dem Gerät des 
Senders verschlüsselt. Erst am anderen 
Ende, auf dem Gerät des Empfängers, 
wird die Nachricht wieder entschlüsselt. 
Selbst wenn die Verantwortlichen bei 
WhatsApp, Signal oder etwa der Telekom 
etwas anderes wollten: Sie haben nur 
Zugriff auf einen Buchstabensalat. Sie 
bleiben bloße Überbringer einer Nach- 
richt, die sie nicht lesen können. 

Ermittler müssen sich deshalb aktuell 
direkten Zugriffauf ein Handy oder einen 
Computer verschaffen, um Nachrichten 
zu lesen, die mit einem solchen Verfah- 
ren verschickt werden. Viele Sicherheits- 
politiker wünschen sich, die Unterneh- 
men würden sogenannte Hintertüren in 
ihren Programmcode einbauen, durch 
die Behörden Zugriff auf unverschlüs- 
selte Daten erhalten. Doch solche gezielt 
eingebauten Schwachstellen könnten 
auch Kriminelle und alle anderen Ge- 
heimdienste ausnutzen. 

Wie heikel das Thema Verschlüsselung 
ist, war offensichtlich auch der deut- 
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schen EU-Ratspräsidentschaft bewusst. 
In einer „Entschließung des Rates zu 
Verschlüsselung” eines vorbereitenden 
Ausschusses der EU wird einerseits siche- 
re Verschlüsselung als wichtige Errun- 
genschaft gelobt. Zugleich fordert diese 
die Mitgliedsstaaten aber auf, Lösungen 
zu suchen, mit denen Sicherheitsbehör- 
den trotz Verschlüsselung „rechtmäßig 
und gezielt auf Daten zugreifen” können 
(dazu siehe oben S. 26). 

Ein Gesetz, um Verschlüsselung 
grundsätzlich zu schwächen, könnte 
nur die EU-Kommission vorschlagen. Die 
zuständige Innenkommissarin Ylva Jo- 
hansson sagte Mitte November 2020 im 
Parlaments-Ausschuss für bürgerliche 
Freiheiten, sie suche nach Möglichkei- 
ten die Sicherheit der Verschlüsselung 
zu wahren, Strafverfolgungsbehörden 
aber gleichzeitig effektive Mittel fürihre 
Ermittlungen an die Hand zu geben. Das 
EU-Parlament müsste über ein solches 
Gesetz mitentscheiden. Fachpolitiker 
aus den Fraktionen der Sozialdemokra- 
ten, derGrünen und derLiberalen hatten 
bereits nach Bekanntwerden der ersten 
Berichte vor Versuchen gewarnt Ende- 
zu-Ende-Verschlüsselung aufzuweichen 
(Muth, Allianz gegen verschlüsselte 
Nachrichten, SZ 30.11.2020, 9). 


EU 


Standardvertragsklauseln 
werden überarbeitet 


Nachdem der Europäische Gerichtshof 
(EuGH) im Juli 2020 den transatlanti- 
schen „Privacy Shield” und damit eine 
der wichtigsten Grundlagen für den 
Transfer von personenbezogenen Da- 
ten aus der EU in die USA für ungültig 
erklärt hat versucht die EU-Kommission 
nun ein prinzipiell verbliebenes alter- 
natives Instrument zu retten und legte 
am 13.11.2020 einen Entwurf für neue 
sogenannte Standardvertragsklauseln 
(SVK) für die Informationsweitergabe 
in Drittstaaten, etwa die USA, vor. Die 
überarbeiteten SVK sollen nach Anga- 
ben der Brüsseler Regierungsinstitution 
die Vorgaben aus dem „Schrems-II-Ur- 
teil” des EuGH (DANA 3/2020, 199 ff.) 
sowie neue Empfehlungen des Europäi- 
schen Datenschutzausschusses (EDSA) 
dazu berücksichtigen. 


Der EuGH hatte im Schrems-II-Urteil 
zum wiederholten Mal festgestellt, dass 
US-Gesetze wie der FISA oder der Cloud 
Act eine Massenüberwachung durch Si- 
cherheitsbehörden wie die NSA oder das 
FBI ermöglichten und der Datenschutz- 
standard daher nicht dem in der EU 
entspricht. In dem Vorschlag der Kom- 
mission heißt es nun, dass die Klauseln 
- „insbesondere im Lichte der Recht- 
sprechung des Gerichtshofs” - beson- 
dere Garantien vorsehen sollten, „um 
etwaige Auswirkungen der Gesetze des 
Bestimmungsdrittlands” auf die Ein- 
haltbarkeit der SVK durch den Daten- 
importeur zu regeln. Dabei gelte es vor 
allem zu klären „wie mit verbindlichen 
Ersuchen von Behörden im Drittland 
nach einer Weitergabe der übermittel- 
ten personenbezogenen Daten umzuge- 
hen ist”. 

Der Transfer und die Verarbeitung 
persönlicher Informationen sollten 
dem Entwurf zufolge nur dann erfol- 
gen, „wenn die Gesetze des Bestim- 
mungsdrittlandes den Datenimporteur 
nicht daran hindern diese Klauseln 
einzuhalten“. Sei es nötig Übermitt- 
lungen in Drittländer zu stoppen, da 
die SVK nicht eingehalten werden 
könnten, unterrichte der zuständige 
Mitgliedsstaat unverzüglich die Kom- 
mission. Diese werde die entsprechen- 
de Botschaft an die anderen EU-Länder 
weiterleiten. 

Details zu den Auflagen, die im SVK- 
Entwurf schon anklingen, sind in einem 
Anhang vorgesehen: Die Vertragspartei- 
en sollen demnach gewährleisten kei- 
nen Grund zu der Annahme zu haben, 
dass die Gesetze im Bestimmungsland 
„einschließlich etwaiger Anforderun- 
gen zur Offenlegung personenbezoge- 
ner Daten oder Maßnahmen, die den 
Zugang von Behörden ermöglichen, den 
Datenimporteur an der Erfüllung seiner 
Verpflichtungen aus diesen Klauseln 
hindern“. Dies beruhe auf dem Ver- 
ständnis, dass Gesetze, die das Wesen 
der Grundrechte und -freiheiten respek- 
tierten und in einer demokratischen Ge- 
sellschaft notwendig und verhältnismä- 
Rig seien, nicht im Widerspruch zu den 
Klauseln stünden. Der Importeur erklärt 
sich mit dem Zusatz zudem bereit Be- 
troffene unverzüglich zu benachrichti- 
gen, wenn er einen rechtsverbindlichen 
Antrag einer Behörde auf eine Daten- 
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herausgabe erhält. Mitzuteilen seien 
dabei Details zu den angeforderten per- 
sonenbezogenen Informationen, das 
anfordernde Amt, die Rechtsgrundlage 
für den Antrag und die erteilte Antwort. 

Wenn es dem Datenbezieher unter- 
sagt ist den Lieferanten oder die direk- 
ten Betroffenen zu benachrichtigen, 
muss er sich „nach besten Kräften um 
eine Aufhebung des Verbots” bemühen, 
„um so viele Informationen wie mög- 
lich und so bald wie möglich zu über- 
mitteln“. Zudem soll der Importeur ge- 
gebenenfalls „alle verfügbaren Rechts- 
mittel zur Anfechtung des Antrags” 
ausschöpfen. Zeitgleich müsse er sich 
um einstweilige Maßnahmen bemühen, 
„um die Wirkungen des Ersuchens aus- 
zusetzen, bis das Gericht in der Sache 
entschieden hat”. Anzugeben sind zu- 
dem getroffene Maßnahmen, mit denen 
die Menge der persönlichen Daten vor 
einem Transfer möglichst gering gehal- 
ten, pseudonymisiert und verschlüsselt 
wird. Wenn die Verarbeitung über ei- 
nen externen Dienstleister läuft, müs- 
sen die Lieferanten sicherstellen, dass 
auch dieser die nötigen zusätzlichen 
Vorkehrungen trifft. 

Die im EDSA versammelten Daten- 
schutzbehörden führen in ihren Rat- 
schlägen zur Umsetzung des Schrems- 
II-Urteils parallel auf Basis einer frühe- 
ren Frage-Antwort-Liste aus, dass die 
Verantwortlichen beim Transfer per- 
sönlicher Informationen insbesondere 
in die USA „zusätzliche Maßnahmen” 
treffen müssten. Damit sei „das gleiche 
Datenschutzniveau“ wie in der EU zu 
gewährleisten. Die genauen Umstände 
von Übertragungen müssten „von Fall 
zu Fall“ betrachtet werden. Dies gelte 
für Transfers in alle Drittstaaten. 

Zudem hat die Kommission einen Ent- 
wurf für Muster-Datenschutzklauseln 
zwischen Firmen oder Behörden und 
Auftragsarbeitern vorgelegt, die ihren 
Sitz in der EU haben. Zu beiden Initi- 
ativen wurde Ende 2020 eine öffent- 
liche Konsultation durchgeführt. Die 
Schlussklauseln will die Brüsseler Exe- 
kutivinstanz im Anschluss veröffentli- 
chen, wenn von den Mitgliedsstaaten 
kein Widerspruch kommt (Krempl, US- 
Datentransfer: EU-Kommission schlägt 
neue Standardvertragsklauseln vor, 
www.heise.de 14.11.2020; Kurzlink: 
https://heise.de/-4960486). 
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EU 


Druck auf irische Daten- 
schutzaufsicht DPC in Sa- 
chen „Facebook” 


Im dem beim Europäischen Gerichts- 
hof (EuGH) laufenden Verfahren zwi- 
schen belgischer Datenschutzbehörde 
und Facebook hat der EuGH-Generalan- 
walt Michal Bobek eine Stellungnahme 
abgegeben zu der für die Auslegung der 
Datenschutz-Grundverordnung (DSGVO) 
wichtigen Frage, ob nationale Daten- 
schutzbehörden agieren dürfen, auch 
wenn eine andere Behörde federführend 
ist. Darin heißt es: „Die anderen betrof- 
fenen nationalen Datenschutzbehörden 
seien gleichwohl befugt, in Situationen, 
in denen es ihnen die Datenschutz- 
Grundverordnung spezifisch gestatte 
derartige Verfahren in ihren jeweiligen 
Mitgliedsstaaten einzuleiten.” 

Die belgische Datenschutzbehörde 
will gegen Facebook vorgehen, obwohl 
wegen der Hauptniederlassung in Irland 
die dortige Behörde (Data Protection 
Commissioner - DPC) zuständig ist. Be- 
reits 2015, also noch vor Inkrafttreten 
der DSGVO, hatte sie vor belgischen Ge- 
richten ein Verfahren gegen Facebook 
laufen, in dem es um die Weitergabe 
der Daten in die USA ging. Nachdem ein 
Gericht entschied, die DPC sei zustän- 
dig, liegt das Verfahren nun bei einem 
Berufungsgericht. Dieses möchte nun 
vom EuGH wissen, ob nur die DPC oder 
auch nationale Datenschutzbehörden 
handeln dürfen. 

Gemäß Bobek hat die federführende 
Datenschutzbehörde zwar eine allge- 
meine Zuständigkeit und haben andere 
Behörden dadurch weniger umfassende 
Handlungsbefugnisse. Dennoch gibt es 
dem Generalanwalt nach im Sinne der 
DSGVO Ausnahmen, wenn bei Dringlich- 
keit Maßnahmen ergriffen werden müs- 
sen oder sie tätig würden, „nachdem 
die federführende Datenschutzbehörde 
beschlossen habe sich nicht selbst mit 
dem Fall zu befassen.” Diese Einschät- 
zung ist ein Entscheidungsvorschlag an 
den EuGH der zu einem späteren Zeit- 
punkt die Entscheidung zu treffen hat. 

Die DPC kündigte just darauf an in 
der Sache Max Schrems versus Facebook 
eine Entscheidung zu treffen. Diese 


steht seit mehr als sieben Jahren aus. 
Nicht nur der gegen den DPC klagende 
Datenschutzaktivist Schrems und sein 
Verein noyb („none of your business“) 
kritisieren den DPC wegen Verzögerun- 
gen. Eine Entscheidung des EuGH im 
Sinne des Generalanwalts könnte be- 
deuten, dass in einem solchen Fall auch 
andere nationale Datenschutzbehörden 
Entscheidungen treffen können. Gemäß 
noyb wird in seinem Verfahren auf Basis 
der DSGVO entschieden, obwohl diese 
bei Einreichung der Klage noch nicht 
in Kraft getreten war: „Im Rahmen der 
DSGVO hat die DPC das Recht, eine Geld- 
strafe in Höhe von bis zu 4 Prozent des 
weltweiten Umsatzes von Facebook und 
Verbote zur Datenverarbeitung zu ver- 
hängen.” Die Entscheidung könne das 
ursprüngliche Beschwerdeverfahren 
von 2013 zu dem Fall machen, der end- 
gültig das Schicksal von Facebooks EU- 
US-Datentransfer besiegelt. Schrems 
erwartet, dass die Verfahrenskosten 
von der DPC zu tragen seien. In den ver- 
gangenen sieben Jahren lag der Fall in- 
zwischen bei sieben Gerichten: „Mehre- 
re Gerichte haben entschieden, dass die 
DPC der Beschwerde nachgehen muss.” 
Es gab jedoch zahlreiche Nebenschau- 
plätze und Pausen. 

Der EuGH hat im Juli 2020 das Pri- 
vacy-Shield-Abkommen gekippt, was 
dazu führte, dass damit die rechtliche 
Grundlage für die Datenübertragung in 
die USA fehlt (DANA 3/2020, 199 ff.). 
Facebook, wie auch andere Unterneh- 
men, beriefen sich auf Standardver- 
tragsklauseln, die ein gleichwertiges 
Datenschutzniveau herstellen sollen, so 
dass der Transfer in Drittländer erlaubt 
ist. Die DPC verhängte eine Anordnung, 
dass Facebook daher die Datenübertra- 
gung stoppen müsse, das Datenschutz- 
niveau sei nicht gleichwertig. Facebook 
drohte im Gegenzug damit, seine Diens- 
te in der EU einzustellen, und reichte 
Beschwerde beim irischen High Court 
ein. Diese wird damit begründet, dass 
das Verfahren um den Datentransfer 
nicht abgeschlossen sei. Der High Court 
entschied, es müsse eine gerichtliche 
Überprüfung geben. 

Schrems wird nun angehört und be- 
kommt Einsicht in alle von Facebook 
eingereichten Unterlagen. Nach der Ent- 
scheidung aus dem Sommer 2020 hatte 
die DPC zur Klärung der Rechtslage eine 
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Klage gegen Schrems und Facebook ein- 
gereicht und das eigentliche Verfahren 
von 2013 auf unbestimmte Zeit pau- 
siert. Beide Parteien klagten ihrerseits, 
wobei Facebook zurückzog, Schrems 
jedoch auf einer Entscheidung bestand, 
die nun folgen dürfte (Weiß, EuGH- 
Generalanwalt empfiehlt: Nationale Da- 
tenschutzbehörden dürfen eingreifen, 
www.heise.de 14.01.2021, Kurzlink: 
https://heise.de/-5024130; Weiß, 
Entscheidung angekündigt: Schrems 
versus Facebook versus irische Daten- 
behörde, www.heise.de 14.01.2021, 
Kurzlink: https://heise.de/-5023827). 


EU 


Automatisiertes Kindes- 
missbrauchs-Inhaltsscan- 
ning soll erlaubt werden 


Anbieter internetbasierter E-Mail- 
und Messaging-Dienste wie Facebook 
oder Google mit Gmail sollen nach wie 
vor sämtliche private Nutzernach- 
richten ohne Anlass und Verdacht auf 
Darstellungen sexuellen Kindesmiss- 
brauchs hin scannen dürfen. Auf einen 
entsprechenden Verordnungsentwurf 
haben sich die Botschafter der EU-Mit- 
gliedstaaten am 28.10.2020 geeinigt. 
Sie erteilten der deutschen Ratspräsi- 
dentschaft ein Mandat, über die geplan- 
te Vorschrift mit der EU-Kommission 
und dem Parlament zu verhandeln. 

Die bis Ende 2025 befristete Verord- 
nung halten die EU-Länder für nötig, 
da vom 21.12.2020 an der europäische 
Kodex für die elektronische Kommu- 
nikation greift. Damit fallen „num- 
mernunabhängige interpersonelle 
Kommunikationsdienste” wie Webmail 
und Messaging, für die bisher die Da- 
tenschutz-Grundverordnung (DSGVO) 
galt, in den Anwendungsbereich der 
E-Privacy-Richtlinie (Telekommunika- 
tions-Datenschutz-Richtlinie). Diese 
enthält im Gegensatz zur DSGVO keine 
ausdrückliche Rechtsgrundlage für die 
freiwillige Verarbeitung von Inhalten 
oder Verbindungs- und Standortdaten, 
um sexuelle Missbrauchsdarstellungen 
ausfindig zu machen. 

Die Kommission brachte daher im 
September eine Übergangsverordnung 
mit einer Ausnahme von der E-Privacy- 
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Richtlinie ins Spiel, damit einschlägige 
Anbieter ihre laufenden Aktivitäten zur 
Suche nach solchen illegalen Inhalten 
sowie gegen das Heranpirschen von 
Nutzern an Kinder und Jugendliche (Cy- 
bergrooming) fortsetzen können. Vor- 
aussetzung dafür ist, dass die Maßnah- 
men mit der DSGVO im Einklang stehen. 

Der Ministerrat unterstützt diesen 
Kurs mit seiner Position prinzipiell, 
setzt aber laut dem Beschluss im Aus- 
schuss der Ständigen Vertreter der 
Mitgliedstaaten (Coreper) noch auf 
Verschärfungen. So soll etwa eine Ein- 
schränkung gestrichen werden, wonach 
die Dienstleister Nachrichten nicht 
„systematisch filtern” und scannen, 
sondern nur bei konkretem Verdacht 
in spezifische Kommunikation schauen 
dürften. Meldet ein Algorithmus einen 
Verdachtsfall, dürfen Inhalt einer Bot- 
schaft sowie Nutzerdaten dem Plannach 
automatisiert und ohne menschliche 
Prüfung an Strafverfolgungsbehörden 
und  Nichtregierungsorganisationen 
weltweit weitergeleitet werden. Die Be- 
troffenen sollen davon nichts erfahren. 

Die Kommission kündigte an bis zum 
zweiten Quartal 2021 Rechtsvorschrif- 
ten zur Bekämpfung des sexuellen Miss- 
brauchs von Kindern im Internet vorzu- 
schlagen. Mit diesen Rechtsvorschriften 
soll eine langfristige Lösung geboten 
werden, um die befristeten Vorschrif- 
ten zu ersetzen. Der Europäische Da- 
tenschutzausschuss (EDSA) wird dem 
Entwurf nach aufgefordert Richtlinien 
für einschlägige Suchmaßnahmen auf- 
zustellen. Die Kommission hat zudem 
bereits angekündigt bis zum zweiten 
Quartal 2021 umfassendere und dauer- 
hafte Rechtsvorschriften im Kampf ge- 
gen sexuellen Missbrauchs von Kindern 
im Internet vorzuschlagen. Diese sollen 
die befristete Verordnung ersetzen und 
eine Lösung für das von der Brüsseler 
Regierungsinstitution ausgemachte 
Problem der Ende-zu-Ende-Verschlüsse- 
lung enthalten: Anbieter wie WhatsApp, 
Signal oder Threema, die auf diesen 
durchgehenden Kryptographieansatz 
bauen, können rein technisch Nutzer- 
nachrichten nicht auf illegale Inhalte 
hin durchsuchen. 

Der für die Piraten im EU-Parlament 
sitzende Abgeordnete Patrick Brey- 
er aus Schleswig-Holstein hat derweil 
beim Unabhängigen Landeszentrum 


für Datenschutz Schleswig-Holstein 
(ULD) Beschwerde gegen die Prakti- 
ken von Facebook & Co. eingelegt: „Die 
Totaldurchleuchtung unserer privaten 
Kommunikation bei US-Anbietern kann 
dazu führen, dass deren Algorithmen 
private und intime Bilder über unsere 
Gesundheit oder Sexualität fälschlich 
melden und die zuständigen Mitar- 
beiter sie illegal weiter verbreiten. Da 
Jugendliche nicht selten intime Fotos 
untereinander teilen, könnten Kon- 
zernmitarbeiter sogar zusätzliche ‚Kin- 
derpornografie‘ in Umlauf bringen.” 
Dieser „Zensursula-Plan” gefährde „Si- 
cherheit und Privatsphäre von Kindern 
und Erwachsenen gleichermaßen und 
gehört gestoppt”. Auch die Weitergabe 
„vermeintlicher Treffer“ an das National 
Center for Missing & Exploited Children 
(NCMEC) in den USA verstoße gegen 
die DSGVO. Gerade erst habe der Euro- 
päische Gerichtshof entschieden, dass 
eine automatisierte Kommunikations- 
analyse allenfalls bei akuter Bedrohung 
der nationalen Sicherheit verhältnis- 
mäßig sein könne (Krempl, EU-Rat: 
Facebook & Co. können weiter nach 
Kinderpornografie suchen, wwwr.hei- 
se.de 29.10.2020, Kurzlink: https:// 
heise.de/-4943055). 


EU 


Kritik an geringem EDSA- 
Bußgeld gegen Twitter 


Am 16.12.2020 verkündete die iri- 
sche Datenschutzbehörde, die Data 
Protection Commission (DPC), dass sie 
ihren ersten „Big Tech”-Fall abgeschlos- 
sen und damit zugleich das erste Streit- 
schlichtungsverfahren nach Artikel 
65 der Datenschutz-Grundverordnung 
(DSGVO) durchlaufen hat: Twitter muss 
nach einer zu spät gemeldeten Daten- 
panne, die mindestens 88.726 Nutzer 
in der EU zwischen September 2017 
und Anfang 2019 betroffen haben soll, 
450.000 Euro Bußgeld zahlen. 

Im Vergleich zu den Sanktionen, die 
die französische Datenschutzbehörde 
CNIL bereits mit einer Buße von bis zu 
100 Mio. € gegen Google in nationalen 
Fällen verhängte, nimmt sich der Be- 
trag sehr gering aus. Das von Twitter 
selbst als „signifikant“ eingestufte Leck 
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entstand durch einen Fehler im Design 
des Kurznachrichtendienstes. Wenn 
ein Nutzer auf einem Android-Gerät die 
mit seinem Konto verknüpfte E-Mail- 
Adresse änderte, waren die geschützten 
Tweets ungeschützt und so für eine brei- 
tere Öffentlichkeit zugänglich, nicht 
nur für seine Follower. 

Ein externer Auftragnehmer hatte 
das Problem am 26.12.2018 im Rahmen 
des Bug-Bounty-Programms von Twitter 
entdeckt, über das jeder einen Fehler- 
bericht einreichen kann. Während der 
daraufhin eingeleiteten Untersuchung 
entdeckte Twitter weitere Benutzer- 
aktionen, die ebenfalls zu demselben 
unbeabsichtigten Ergebnis führten. 
Den Fehler führte der Konzern auf eine 
Codeänderung vom 04.11.2014 zurück. 
Potenziell Betroffene konnte er aber 
nur bis 2017 zurückverfolgen, da für 
die restlichen drei Jahre keine Logfiles 
mehr vorlagen. 

Das Rechtsteam von Twitter er- 
fuhr von dem Bug am 02.01.2019. Am 
08.01.2019 informierte der Konzern, 
der - wie viele andere US-Internetrie- 
sen - seinen europäischen Hauptsitz in 
Irland hat, die DPC. Rechtlich ist eine 
Meldefrist von 72 Stunden vorgese- 
hen. Anderthalb Jahre später legte die 
Datenschutzbehörde nach Ende ihrer 
Untersuchungen und Abstimmungs- 
runden mit Twitter den Entwurf für ihre 
Entscheidung dem Europäischen Daten- 
schutzausschuss (EDSA) vor. Kontrol- 
leure aus acht Mitgliedsstaaten inklusi- 
ve Deutschlands brachten dagegen Be- 
denken vor. Anfang November war das 
Schlichtungsverfahren beendet. Den 
entsprechenden Beschluss hat der EDSA 
nun öffentlich gemacht. 

Der Hamburgische Datenschutzbe- 
auftragte Johannes Caspar, der den Fall 
für Deutschland betreut, ist mit der Ent- 
scheidung im Artikel-65-Verfahren alles 
andere als zufrieden. Diese führe dazu, 
„dass die federführende Behörde künf- 
tig den Untersuchungsbereich von Ver- 
stößen gegen die DSGVO selbst bestim- 
men kann“. Damit „entmachtet sich” 
der EDSA und gebe eine eigenständige 
Kontrolle der federführenden nationa- 
len Prüfer aus der Hand. Die DPC habe 
nur den Verstoß gegen die Meldepflicht 
nach Artikel 33 DSGVO beleuchtet, kri- 
tisiert Caspar. So seien „weitergehende 
dahinterliegende Fragen“ außen vor 
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geblieben. Mögliche Verstöße etwa 
gegen Integrität, Vertraulichkeit und 
Sicherheit der Datenverarbeitung hät- 
ten gar keine Rolle gespielt. Dies gelte 
auch für eine potenzielle gemeinsame 
Verantwortung mit Blick auf die Twitter- 
Konzernzentrale in den USA. 

Caspar kritisiert: „Ist dies der Maß- 
stab, mit dem künftig Entscheidungen 
im Streitbeilegungsverfahren durch den 
EDSA überprüft werden, bleibt eine ein- 
heitliche Anwendung der DSGVO in der 
EU auf der Strecke. Es liegt dann bei der 
federführenden Behörde, zusammen- 
hängende Sachverhalte so zu verkürzen 
und einzudampfen, dass es eigentlich 
keines gemeinsamen Verfahrens auf 
EU-Ebene mehr bedarf. Die Höhe des 
Bußgeldes ist eine zentrale Fragestel- 
lung, die in der EU die Einheitlichkeit 
des Vollzugs wesentlich beeinflusst”. 
Der Beschluss der DPC liege auf der „be- 
reits seit langem problematischen Linie 
einer Zweispurigkeit des Datenschutzes 
in Europa“: Während in den nationalen 
Verfahren der Bußgeldrahmen der DS- 
GVO zusehends ausgeschöpft werde, 
hätten die bislang spärlich verhängten 
Sanktionen bei der grenzüberschrei- 
tenden Datenverarbeitung „bestenfalls 
einen symbolischen Wert“. Die erforder- 
liche Abschreckung „wird so jedenfalls 
nicht hergestellt”. 

Im Ergebnis privilegiere dies „glo- 
bale Tech-Firmen, die sich in einigen 
Mitgliedstaaten niedergelassen haben, 
und führt zu Wettbewerbsverzerrungen 
auf dem digitalen Markt nicht zuletzt 
zu Lasten von Unternehmen in ande- 
ren Mitgliedstaaten“. Leider habe die 
EU-Kommission auch im gerade vorge- 
stellten Digital Services Act (DSA) hier- 
zu keine Antworten gegeben. Wenn es 
nicht gelinge, nötige Veränderungen 
herbeizuführen, bleibe eine eigenstän- 
dige Digitalpolitik in der EU im Bereich 
der Wunschvorstellung. 

Die Hamburgische Datenschutzbe- 
hörde prüft, ob sie Rechtsmittel vor 
dem Europäischen Gerichtshof gegen 
die Entscheidung des EDSA einlegen 
soll. Klar ist für Caspar schon jetzt, dass 
dessen erste Entscheidung im Mediati- 
onsprozess „nicht der Maßstab für sein 
künftiges Handeln werden” dürfe. 

Der Bundesdatenschutzbeauftragte 
Ulrich Kelber, Caspar und einige ihrer 
Kollegen versuchen seit Längerem, die 


Iren auch bei Facebook&Co. zum Jagen 
zu tragen. Die DPC gilt als chronisch 
unterbesetzt sowie voreingenommen 
und kommt in den von ihr eingeleite- 
ten großen internationalen Verfahren 
nur langsam voran. Der EDSA hatte im 
Februar 2020 gefordert, dass die Zusam- 
menarbeit in diesem Bereich dringend 
verbessert werden müsse. 2021 erhält 
die DPC zwar 2,2 Millionen mehr Bud- 
get. Berichten zufolge hatte sie aber 
ein Plus von knapp sechs Millionen Euro 
gefordert (Krempl, Kleine DSGVO-Strafe: 
EU-Datenschützer entmachten sich im 
Fall Twitter, www.heise.de 19.12.2020, 
Kurzlink: https://heise.de/-4995833). 


EU 


Künftig Verbands-Sammel- 
klagen in den EU-Mitglieds- 
staaten 


Das Europaparlament nahm am 
25.11.2020 eine Initiative zur Ein- 
führung von Sammelklagen in den 27 
EU-Staaten an. Demgemäß sollen Ver- 
braucher ihre Rechte gegenüber großen 
Firmen leichter durchsetzen können. 
Bestimmte Institutionen wie Verbrau- 
cherverbände können dann stellvertre- 
tend für die Geschädigten gegen Un- 
ternehmen auf Unterlassung und Scha- 
denersatz klagen. Die EU-Länder haben 
zwei Jahre Zeit ihre Gesetzgebung ent- 
sprechend anzupassen. 

Entschädigungen sind so etwa in den 
Bereichen Datenschutz, Finanzdienst- 
leistungen, Gesundheit und Flug- und 
Bahnverkehr möglich. EU-Justizkom- 
missar Didier Reynders sagte angesichts 
der vielen ausgefallenen Flüge im Jahr 
2020, diese Verbandsklagen seien jetzt 
notwendiger denn je. Die Sammelklagen 
lieferten soliden Schutz für Verbraucher. 

Der CDU-Abgeordnete Andreas 
Schwab monierte hingegen fehlende 
Einheitlichkeit bei der Ausgestaltung 
der Klagemöglichkeit in den einzelnen 
EU-Ländern. Reynders zufolge gibt esin 
einigen Staaten bereits gut funktionie- 
rende Regelungen zu Verbandsklagen. 
Diese sollten beibehalten werden. Die 
Sozialdemokratin Lara Wolters mahnte 
an, dass Verbandsklagen nicht nur für 
Verbraucher und nicht nur für EU-Bür- 
ger zur Verfügung stehen sollten. 
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Hintergrund der Regelung sind Fälle 
wie manipulierte Abschalteinrichtun- 
gen mit Hunderttausenden Geschä- 
digten. Jeder Einzelne für sich hat nur 
geringe Chancen - allein deshalb, weil 
ihm womöglich die Ressourcen für einen 
Rechtsstreit gegen Großunternehmen 
fehlen. Anders sieht es aus, wenn Ver- 
braucher sich zusammenschließen und 
gemeinsam klagen können. Deshalb 
schlug die EU-Kommission 2018 vor eu- 
ropaweit Kollektivklagen zu erlauben. 
Nach Angaben der Kommission gibt es 
bereits in 19 Mitgliedstaaten kollektive 
Rechtsbehelfe, auchin Deutschland. Mit 
den neuen EU-Regeln müssten Verbrau- 
cher ihren Schadenersatz nicht mehr 
individuell einklagen. Zudem könnten 
sie künftig auch in anderen EU-Staaten 
ihre Rechte durchsetzen (Europapar- 
lament macht Weg für Verbandsklagen 
frei, www.proplanta.de 25.11.2020). 


Frankreich 


Hohe Bußgelder gegen 
Google und Amazon wegen 
Cookies 


Die französische Datenschutzaufsicht 
will mit hohen Zwangsgeldern Google 
und Amazon dazu bringen ihre Cookie- 
Politik zu ändern. Die Commission Nati- 
onale de U’Informatique et des Libertes 
(CNIL) teilte am 10.12.2020 mit, dass 
gegen Google 100 Mio. € und gegen Ama- 
zon 35 Mio. € festgelegt worden sind. In 
den Verfahren geht es um Cookies, die 
nach Überzeugung der Behörde dem 
Werbetargeting dienen. Die CNIL bemän- 
gelt, dass auf den französischen Portalen 
von Google und Amazon Werbecookies 
gesetzt wurden, bevor die Nutzer explizit 
ihre Zustimmung erteilt hatten. 

Im Fall von Google wurde zwar ein 
Cookie-Dialog angezeigt, der Nutzern 
die Wahl ließ die Datenschutzeinstellun- 
gen aufzurufen oder direkt auf das An- 
gebot zuzugreifen. Nach Auffassung der 
Datenaufsicht reichte dies jedoch nicht 
aus eine tatsächlich informierte Einwil- 
ligung zum Setzen von Werbe-Cookies zu 
erhalten. Zudem sei auch bei Nutzern, 
die der personalisierten Werbung aus- 
drücklich widersprochen hätten, immer 
noch ein Werbecookie gesetzt worden. 
Zwar hatte Google bei einem Seiten- 
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Update im September 2020 aufgehört 
ungefragt Werbecookies zu setzen. Die 
seither angebotenen Informationen 
reichten aber immer noch nicht aus, 
um Nutzer darüber aufzuklären, welche 
Informationen verarbeitet werden und 
dass sie der Cookie-Speicherung auch 
widersprechen können. Weil die Spei- 
cherung 50 Millionen Internetnutzer 
in Frankreich betreffe und das Werbe- 
geschäft von Google so weitreichende 
Konsequenzen habe, wurde Google LLC 
ein Bußgeld von 60 Millionen Euro, der 
Europazentrale in Irland zusätzlich 40 
Millionen Euro Strafe auferlegt. 

Die Vorwürfe gegen Amazon sind ähn- 
lich. So hat auch Amazon laut Darstel- 
lung der Behörde im September 2020 
ein verbessertes Cookie-Banner einge- 
richtet. Dieses informiere die Nutzer 
aber immer noch nicht ausreichend. 
Die Höhe des Bußgeldes begründet die 
CNIL mit der Bedeutung von Amazon für 
den E-Commerce in Frankreich und dem 
Werbegeschäft, bei dem einmal angese- 
hene Artikel auch auf anderen Websites 
beworben werden. 

Die Unternehmen haben drei Monate 
Zeit, um ihre Angebote nach den Vorga- 
ben der Datenschützer anzupassen. Soll- 
te dies nicht geschehen, droht die CNIL 
mit weiteren Strafzahlungen von 100.000 
Euro für jeden weiteren Tag Verzögerung. 
Beide Unternehmen zeigten sich über 
das Vorgehen der CNIL verärgert. So ver- 
wies Google auf die unsichere Rechtslage 
und will sich um weitere Gespräche mit 
der Datenschutzaufsicht bemühen. Ama- 
zon betonte die Privatsphäre seiner Kun- 
den bestmöglich zu schützen. 

Eigentlich gilt in Europa nach der Da- 
tenschutz-Grundverordnung (DSGVO) 
ein „One Stop Shop“-Prinzip, wonach 
letztlich nur eine Datenschutzbehör- 
de für die Unternehmen zuständig ist. 
Im Fall von Google wäre das Irland. Die 
dortige Aufsichtsbehörde wird seit Jah- 
ren von europäischen Kollegen wegen 
Untätigkeit kritisiert. Deshalb berief 
sich die französische CNIL auf eine an- 
dere Rechtsgrundlage: Die europäische 
E-Privacy-Richtlinie wurde bereits vor 
der DSGVO in französisches Recht umge- 
setzt. Der Versuch der Harmonisierung 
zu einer neuen E-Privacy-Verordnung 
war jedoch bisher immer wieder an der 
Uneinigkeit europäischer Regierungen 
gescheitert, sodass die alten Vorschrif- 


ten weiterhin gelten. Die CNIL ist eine 
der europäischen Behörden, die den 
meisten Druck machen bei der Umset- 
zung des Datenschutzes. So hatte die 
CNIL bereits 2019 eine Strafe von 50 Mil- 
lionen Euro gegen Google verhängt, die 
trotz rechtlicher Gegenwehr des Kon- 
zerns aufrechterhalten wurde (Kleintz, 
Frankreich: Datenschützer verhängen 
Millionen-Bußgelder gegen Google und 
Amazon, www.heise.de 10.12.2020, 
Kurzlink: https://heise.de/-4985956). 


Frankreich 


DSGVO-Millionenbußgeld 
gegen Carrefour 


Der französische Einzel- und Groß- 
handelsriese Carrefour hat wegen meh- 
rerer Verstöße gegen die Datenschutz- 
Grundverordnung (DSGVO) eine Geldbu- 
ße in Höhe von insgesamt 3,05 Mio. € 
auferlegt bekommen. Der Vorwurf be- 
steht in der Verletzung von Lösch- und 
Informationspflichten. Die nationale Da- 
tenschutzbehörde CNIL hatte mehrfache 
Beschwerden gegen die Gruppe erhalten 
und zwischen Mai und Juli 2019 Inspek- 
tionen vor Ort durchgeführt. Eine Forde- 
rung von 2,25 Millionen € ging an den 
Mutterkonzern, die Banktochter Carre- 
four Banque soll 800.000 € bezahlen. 

Die CNIL-Prüfer hatten u.a. festge- 
stellt, dass der französische Marktführer 
die Daten von mehr als achtundzwanzig 
Millionen früheren Kunden im Rahmen 
eines Bonusprogramms gespeichert 
hatte, obwohl diese seit fünf bis zehn 
Jahren inaktiv waren. Dasselbe galt für 
750.000 Nutzer der Website carrefour.fr. 
Die praktizierte Aufbewahrungsfrist von 
vier Jahren für Kundendaten nach dem 
letzten Kauf sei überschritten worden. 

Carrefour hat der CNIL zufolge zu- 
dem gegen Informationspflichten aus 
der DSGVO verstoßen. Die Angaben, 
die das Unternehmen den Besuchern 
der Stammwebseite und von carrefour- 
banque.fr sowie den Inhabern der Bo- 
nuskarte zur Verfügung stellte, seien 
schwer zugänglich, kaum verständlich 
und lückenhaft gewesen. Ferner seien 
Cookies ohne die erforderliche Einwil- 
ligung gesetzt worden. Carrefour habe 
ungerechtfertigt einen Identitätsnach- 
weis verlangt, wenn Kunden ihre ver- 
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brieften Kontrollrechte ausüben woll- 
ten. Auskunftsersuchen sei der Konzern 
zu spät oder gar nicht nachgekommen. 
Für das Treueprogramm habe das Unter- 
nehmen persönliche Kontaktangaben 
erhoben und - entgegen der Zusage - 
an den hauseigenen Finanzdienstleis- 
ter weitergegeben. Von weiteren und 
schärferen Sanktionen sah die CNIL ab, 
da Carrefour „erhebliche Anstrengun- 
gen unternommen” habe, um alle fest- 
gestellten Verstöße zu beheben (Krem- 
pl, DSGVO-Verstöße: Über drei Millionen 
Euro Strafe für Carrefour, www.heise.de 
26.11.2020, Kurzlink: https://heise. 
de/-4972448). 


Frankreich 


Gesetzentwurf zielt auf Bil- 
derzensur in den Medien ab 


In Frankreich soll ein Gesetz verbie- 
ten Polizisten im Einsatz zu fotografie- 
ren und zu filmen. Zeitungen, Rund- 
funk- und Fernsehanstalten befürchten 
als Nebeneffekt eine Einschränkung 
der kritischen Berichterstattung über 
unangemessene Polizeieinsätze. Im 
Mittelpunkt der Diskussion des von 
der Regierungspartei La Republique en 
Marche eingebrachten Gesetzes steht 
der Artikel 24. Dieser sieht vor, dass die 
Verbreitung von Bildern über Polizei- 
aktionen mit erkennbarem Gesicht der 
Sicherheitskräfte mit Gefängnis und bis 
zu 45.000 Euro Bußgeld bestraft werden 
kann, sofern die klare Absicht dahinter- 
stehe den Polizisten „physisch oder psy- 
chisch zu schaden”. 

So war Anfang November 2020 auf 
Instagram ein Polizist bei einer Schü- 
lerblockade in Paris zu sehen, der einem 
Journalisten Pfeffersprayin Gesicht und 
Kamera sprühte, während ein anderer 
seinem Kollegen im Streifenwagen zu- 
rief: „Komm, überfahr ihn doch.” Die- 
se Szene, die zu vielen Aufrufen und 
Kommentaren führte, könnte nach der 
geplanten Gesetzesänderung zur „glo- 
balen Sicherheit” in den französischen 
Netzwerken künftig verboten sein. 

Die Regierung will mit dieser Initiati- 
ve auf die seit der Gelbwestenbewegung 
wachsende Spannung zwischen der Po- 
lizei und einem Teil der Bevölkerung 
eingehen. Hasstiraden gegen manchmal 
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namentlich genannte Polizisten auf den 
sozialen Medien führen zu Verstimmung 
auf den Polizeirevieren. Die Polizei 
steht seit Monaten durch die Terroris- 
musgefahr, die Covid-Ausgangssperre 
und diverse Protestbewegungen im har- 
ten Dauereinsatz. Die Fälle von Gewalt 
gegen Polizisten waren in den vergan- 
genen zwei Jahren um 18% gestiegen. 
2016 hatte ein Täter aus dem Netz die 
Adresse eines Polizistenpaares ausfindig 
gemacht und dieses vor den Augen von 
deren Kindern kaltblütig ermordet. Mit 
der Gesetzesänderung versucht die Re- 
gierung dem Zulauf aus Polizeikreisen 
zu rechts-autoritären Gewerkschaften 
und Parteien das Wasser abzugraben. 

Journalisten- und Redaktionsvertre- 
ter großer Zeitungen, Rundfunk- und 
Fernsehanstalten, darunter Le Monde, 
Le Figaro, Liberation, Radio France und 
France Television, wiesen in Reaktion 
auf den Entwurfin einem gemeinsamen 
Aufruf darauf hin, dass wiederholte 
Fälle von Polizeigewalt gegenüber De- 
monstranten und Bürgern in den ver- 
gangenen Jahren hauptsächlich dank 
der Aufnahmen von Journalisten und 
Laien publik geworden seien. Öffentli- 
che Polizeieinsätze zu dokumentieren, 
sei ein notwendiges Recht in der Demo- 
kratie. Angesichts der drohenden Stra- 
fe befürchten die Unterzeichner, dass 
Medien wie Privatzeugen sich bei Kon- 
frontationen selbst zensieren und die 
Polizisten sich zu noch härterem Durch- 
greifen ermutigt fühlen könnten. 

Die Regierungspartei versichert, dass 
die Informations- und Dokumentati- 
onsfreiheit der Presse durch die Geset- 
zesänderung nicht geschmälert werde, 
da verpixelte Bilder von Polizisten wei- 
terhin gestattet würden. Dies ist wenig 
überzeugend. Gemäß Artikel 21 des Ent- 
wurfs sollen umgekehrt Aufnahmen von 
Überwachungskameras auf der Straße 
bei Polizeieinsätzen „zur Information 
der Öffentlichkeit“ von den Behörden 
benutzt werden können. Ein Parlaments- 
abgeordneter erläuterte, es gehe darum 
im Krieg der Bilder die Deutungshoheit 
gegen die sozialen Medien zurückzu- 
gewinnen. Was als Wiederherstellung 
des Gleichgewichts in der Konfrontation 
zwischen Polizeigewalt und aggressiver 
Stimmungsmache im Internet angelegt 
sein soll, bedroht die Pressefreiheit. Soll- 
te das Gesetz zur „globalen Sicherheit” 


durch beide Parlamentskammern kom- 
men, wollen die Gegner hiergegen vor 
dem Verfassungsgericht klagen. 

Die Proteste gegen das geplante Si- 
cherheitsgesetz hielten über den Jah- 
reswechsel hinweg an. Am letzten Ja- 
nuarwochenende 2021 fanden gemäß 
den Organisatoren im ganzen Land 64 
Versammlungen statt, an denen sich 
gemäß offiziellen Angaben des Innen- 
ministeriums rund 32.770 Menschen 
beteiligt haben sollen, davon etwa 5050 
in Paris. Dort wurden laut Staatsanwalt- 
schaft 26 Menschen festgenommen (Ha- 
nimann, Lockdown im Krieg der Bilder, 
SZ 13.11.2020, 31; Gegen das Sicher- 
heitsgesetz, SZ 01.02.2021, 6). 


Italien 


Bußgeld gegen Vodafone 
wegen unzulässiger 
Werbung 


Die italienische Datenschutzbehörde 
Garante per la protezione dei dati perso- 
nali (Garante) hält es für erwiesen, dass 
Vodafone Italien die Daten von Millionen 
von Nutzern widerrechtlich für „aggres- 
sives” Telemarketing verwendet hat, und 
hat den Netzbetreiber wegen „struktu- 
reller“ Verstöße gegen die Datenschutz- 
Grundverordnung (DSGVO) zu einer Stra- 
fe von 12,25 Millionen Euro verdonnert. 
Zudem wurde der Konzern zu diversen 
Schutzmaßnahmen verpflichtet. 

Die Garante erhielt hunderte Be- 
schwerden und Hinweise von Nutzern 
rund um unerwünschte Werbeanrufe 
durch Vodafone oder Firmen aus dem 
Vermarktungsnetzwerk des Telekommu- 
nikationsunternehmens. Im Rahmen 
der eingeleiteten Untersuchungen sei 
man in dem komplexen Fall darauf ge- 
stoßen, dass der Provider Anforderun- 
gen an die Einwilligung der Betroffenen 
nicht beachtet habe. Zudem habe er 
Schüsselprinzipien aus der DSGVO wie 
„Privacy by Design“ und Nachvollzieh- 
barkeit nicht befolgt. 

Für die Aufsichtsbehörde war es 
„beunruhigend”, dass aktive und po- 
tenzielle Kunden mit gefälschten oder 
nicht registrierten Telefonnummern zu 
Marketingzwecken angerufen worden 
seien. Vodafone untersuche diese Praxis 
selbst intern und scheine es mit einer 
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zwielichtigen Gruppe nicht autorisierter 
Callcenter zu tun gehabt zu haben, „die 
unter völliger Missachtung der Gesetz- 
gebung zum Schutz persönlicher Daten 
Telemarketing-Aktivitäten durchfüh- 
ren”. Weitere Verstöße stellten die Kon- 
trolleure im Umgang mit Kontaktlisten 
fest, die Vodafone von Geschäftspart- 
nern und anderen Dritten ohne die 
erforderliche freie, informierte und 
ausdrückliche Zustimmung der Nutzer 
bezogen habe. Zudem hätten sich die 
Sicherheitsmaßnahmen zur Verwaltung 
von Kundendaten als unzureichend 
erwiesen (Krempl, DSGVO-Strafe: Vo- 
dafone Italien soll über 12 Millionen 
Euro zahlen, www.heise.de 23.11.2020, 
Kurzlink: https://heise.de/-4969037). 


Schweden 


Folksam-Versicherung 
stoppt illegale Datenko- 
operation 


Die große schwedische Versicherung 
Folksam will digitaler werden und dafür 
möglichst viel darüber erfahren, was 
ihre Kunden online so treiben. Auf die- 
ser Datengrundlage will die Gesellschaft 
passgenaue Versicherungsangebote 
machen. Deshalb hat Folksam Verein- 
barungen mit Facebook, Google, Mi- 
crosoft, Linkedin, Adobe und anderen 
Firmen geschlossen und ihnen Daten 
über eine Million eigener Kunden gelie- 
fert. Enthalten waren auch die Sozial- 
versicherungsnummer, die in Schweden 
große Bedeutung im Alltag hat, und 
Daten über die Gewerkschaftsmitglied- 
schaft oder eine möglicherweise beste- 
hende Schwangerschaftsversicherung. 
Erst der internen Revision fiel auf, dass 
der fröhliche Datentausch illegal war. 
Folksam entschuldigte sich. Ein Miss- 
brauch der Daten sei bislang nicht be- 
kannt, teilte die Firma mit (Tllegaler Da- 
tenaustausch, SZ 05.11.2020, 20). 


Spanien 


Regierung erwägt Impf- 
register 


Die Regierung Spaniens erwägt, Men- 
schen, die sich nicht gegen Covid 19 imp- 
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fen lassen wollen in einem Verzeichnis zu 
registrieren. Gesundheitsminister Salva- 
dor Illa sagte am 28.12.2020, Impfungen 
in Spanien würden sicher nicht verpflich- 
tend werden. Doch wer eine Impfung an- 
geboten bekomme und sich weigere, sie 
anzunehmen, könnte in einem Register 
gespeichert werden, das man mit euro- 
päischen Partnern teilen wolle. Diese In- 
formation solle aber nicht veröffentlicht, 
sondern „im höchsten Respekt vor dem 
Datenschutz” verwendet werden. In Spa- 
nien ist die Zahl derer, die eine Impfung 
verweigern wollen, laut Umfragen von 
November auf Dezember 2020 von 47 auf 
28% gesunken (Impfregister erwogen, SZ 
30.12.2020, 7). 


Türkei 
Erdogan verlässt WhatsApp 


Der türkische Präsident Recep Tayyip 
Erdogan verzichtet auf die weitere Nut- 
zung des Messengers WhatsApp, nach- 
dem der Dienst seine Datenschutzricht- 
linie geändert hat. Er will künftig die 
aus der Türkei stammende App „BiP”, 
die zum Mobilfunkanbieter Turkcell ge- 
hört, nutzen. Künftig sollen auch Jour- 
nalisten ihre Informationen ausschließ- 
lich über diesen Anbieter beziehen kön- 
nen. Zahlreiche Türken schlossen sich 
Erdogan nach der Veröffentlichung des 
neuen WhatsApp-Updates an, viele twit- 
terten den Hashtag #DeletingWhatsapp. 

Das WhatsApp-Update ist kontrovers 
und umstritten. Der Messenger-Dienst 
zwingt seine Nutzer dazu die neuen Da- 
tenschutzrichtlinien zu akzeptieren. In 
dem Update heißt es: „WhatsApp aktua- 
lisiert seine Nutzungsbedingungen und 
seine Datenschutzrichtlinie. Wesentli- 
che Updates sind unter anderem mehr 
Informationen zu Folgendem: Whats- 
App Service und wie wir deine Daten 
verarbeiten”. Darüber hinaus heißt es: 
„Wie Unternehmen mit von Facebook 
gehosteten Services ihre WhatsApp 
Chats speichern und verwalten kön- 
nen.” Wer dem Update nicht zustimmte, 
konnte den Messenger-Dienst ab dem 
08.02.2021 nicht mehr nutzen. 

Das Update soll dazu dienen, dass 
WhatsApp und andere Facebook-Diens- 
te Informationen miteinander austau- 
schen können, um die Sicherheit und 
Integrität der Facebook-Produkte zu 


gewährleisten. Dazu heißt es: „Keine 
der Informationen, die WhatsApp auf 
dieser Grundlage weitergibt, dürfen für 
die eigenen Zwecke der Facebook-Un- 
ternehmen verwendet werden.” Damit 
dürfen die Daten aus WhatsApp nicht 
zur Verbesserung des Anzeigesystems 
genutzt werden. 

Ali Taha Koc, Chef des türkischen Pre- 
sidental Digital Transformation Office 
unter Recep Tayyip Erdogan, kritisier- 
te die neuen Datenschutzrichtlinien 
scharf. „Wir müssen unsere Daten mit 
lokaler und nationaler Software schüt- 
zen und sie nach unseren Bedürfnissen 
entwickeln. Lassen Sie uns nicht ver- 
gessen, dass die Daten der Türkei in der 
Türkei dank lokaler und nationaler Lö- 
sungen bleiben werden“ (Ziegele, Nach 
kontroversem Datenschutz-Update: 
Erdogan verzichtet auf Whatsapp, www. 
fr.de 11.01.2021). 


Israel 
Vakzin gegen Daten 


Während in der EU wegen Liefereng- 
pässen der Zeitplan zum Impfstart ge- 
gen das Coronavirus stockt, hat Israel 
keine Lieferprobleme, obwohl das Land 
aus der EU versorgt wird. Nach BioN- 
Tech/Pfizer liefert auch AstraZeneca 
weniger Corona-Impfstoff an die EU- 
Staaten als nach Israel. Israel hatte von 
Anfang mehr Impfstoff zur Verfügung, 
als verimpft werden konnte. 

Israel hat in den Impfstoff-Verhand- 
lungen einen anderen Ansatz verfolgt 
als die EU und sich lange vor den Eu- 
ropäern große Impfstoff-Mengen von 
BioNTech/Pfizer gesichert. Vor allem 
hat das Land dem Impfstoffhersteller im 
Gegenzug die Übermittlung von Impf- 
daten vertraglich garantiert. Die EU leg- 
te hingegen großen Wert darauf, dass 
Pfizer die Produkthaftung übernimmt - 
was in Israel der Staat macht. Es spricht 
auch einiges dafür, dass Israel einen 
höheren Preis für die Dosen bezahlt als 
die EU. Israels Premier Benjamin Netan- 
jahu rühmte sich, „17 Mal” mit seinem 
„Freund“ Albert Bourla, CEO bei Pfizer, 
telefoniert zu haben. Das Ergebnis ist, 
so Israels Gesundheitsminister Juli 
Edelstein, eine „Win-win-Situation”. 

Der Impfstoffhersteller verpflichtete 
sich Israel so lange mit Impfstoff zu ver- 
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sorgen, bis im Land eine Herdenimmu- 
nität, also eine Immunität von 95% der 
Bevölkerung, erreicht ist. Im Gegenzug 
versorgt das israelische Gesundheits- 
ministerium Pfizer wöchentlich mit In- 
formationen über die Impfungen. Dazu 
gehören Infektions- und Impfzahlen, 
aber auch die demografischen Angaben 
der Patienten wie zum Beispiel das Alter 
und Geschlecht. Die Daten werden laut 
israelischen Behörden anonymisiert an 
Pfizer geschickt. 

Es gibt durchaus Kritik an dieser Vor- 
gehensweise, etwa vom renommierten 
Israel Demokratie Institut (IDI), das 
beanstandet, dass dafür nicht die Zu- 
stimmung der Bürger eingeholt wurde. 
BioNTech erklärte, dass alle von den 
Erkenntnissen profitieren würden. Aus 
diesem Grunde hält auch das Robert 
Koch-Institut (RKI) enge Verbindungen 
mit Israel, so RKI-Präsident Lothar Wie- 
ler: „Während der gesamten Pandemie 
haben wir jederzeit unsere Ansichten 
ausgetauscht, damit wir voneinander 
lernen können. Wir müssen unsere Ide- 
en mitteilen und uns darüber austau- 
schen” (Sina/Lauck, Warum Israel ge- 
nug Impfstoff hat, www.tagesschau.de 
23.01.2021; Münch, Deal des Jahres, SZ 
20.01.2021, 4). 


USA 


Datenpanne bei Oracle- 
Tochter 


Die Oracle-Tochter Bluekai räumte im 
Juli 2020 eine Datenpanne ein: Da zwei 
Unternehmen die Data-Management- 
Plattform des Big-Data-Spezialisten 
nicht korrekt konfiquiert hatten, wa- 
ren Milliarden Nutzerdaten im Netz 
frei verfügbar. Auch Deutsche waren 
von der Datensammlung per Cookies 
und anderen Tracking-Techniken be- 
troffen. Die Daten wie Name, Wohnort, 
Mail-Adressen und Infos zu Surfverhal- 
ten, Einkäufen und Newslettern lassen 
Rückschlüsse sowohl auf Hobbys, als 
auch auf politische Einstellungen, Ge- 
sundheitszustand bis zu sexuellen Nei- 
gungen zu. Oracle wollte gegenüber der 
Presse weder die Namen der betroffenen 
Unternehmen mitteilen, noch, ob die 
Panne den Behörden gemeldet worden 
sei (Milliarden Nutzerdaten von Bluekai 
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im Netz verfügbar, Computerwoche 28- 
29/2020 06.07.2020, 11). 


USA 


Digitaler Sicherheits- 
dienstler dringt in Intim- 
bereich ein 


T. A., ein 35-jähriger ehemaliger An- 
gestellter des Heim- und Bürosicher- 
heitsdienstes ADT, hat seine Position 
bei der US-amerikanischen Firma aus- 
genutzt, um mehr als fünf Jahre lang 
Kunden in intimen Situationen zu be- 
obachten. Das gab er am 21.01.2021 vor 
einem Bezirksgericht im US-Bundes- 
staat Texas zu und bekannte sich unter 
anderem des Computerbetrugs (compu- 
ter fraud) für schuldig. Ihm drohen nun 
bis zu fünf Jahre Haft. T.A. führte eine 
Liste von Kundenhaushalten mit attrak- 
tiven Frauen, deren Kundenkonten er 
seine E-Mail-Adresse hinzufügte. Damit 
hatte er Zugriff auf die Mobil-App des 
ADT-Dienstes Pulse, mit der Nutzer aus 
der Ferne Lichter an- oder ausschalten, 
Alarme de- oder reaktivieren oder das 
Bild der Kameras sehen können. Auf 
Kundennachfrage erklärte T.A., er be- 
nötige den Zugriff, um die Sicherheits- 
funktionen zu testen. Stattdessen nutz- 
te er die App über 9.600-mal, um die 
Frauen zu beobachten - vorzugsweise, 
wenn sie nackt waren, oder beim Sex. 

FürT.A. könnte sich als besonders pro- 
blematisch herausstellen, dass mindes- 
tens eine der Frauen zu dem Zeitpunkt 
minderjährig war. Allein auf die Kame- 
ras in ihrem Haus griff der Angeklagte 
beinahe 100-mal zu. Laut eigenen An- 
gaben habe ADT das rechtswidrige Ver- 
halten seines Mitarbeiters der Staatsan- 
waltschaft mitgeteilt, als die Firma da- 
von Kenntnis erlangte, und kooperiere 
bei den Ermittlungen des FBI und der 
Staatsanwaltschaft. Dennoch strengen 
mehrere Parteien Sammelklagen gegen 
die Firma an. Eine davon vertritt die 
minderjährigen Familienmitglieder der 
Kunden. Kernanklagepunkt: ADT habe 
seinen Dienst als Möglichkeit beworben, 
Kinder und Haustiere aus der Ferne im 
Blick behalten zu können, es aber ver- 
säumt angemessene Sicherheitsvorkeh- 
rungen zu implementieren. Dazu hätten 
etwa Zwei-Faktor-Authentisierung oder 


SMS-Benachrichtigungen bei einer 
Neuanmeldung zählen müssen. 

Bei solchen elektronischen Überwa- 
chungssystemen sollte sich der Kunde 
oder Nutzer grundsätzlich des Miss- 
brauchspotenzials bewusst sein. Dabei 
ist es egal, ob er einen Dienstleister be- 
auftragt oder die Ausstattung selbst in 
die Hand nimmt. Auch werden immer 
wieder Sicherheitslücken öffentlich, 
mit denen solche Systeme geknackt und 
belauscht oder anderweitig missbraucht 
werden (Kraft, Sicherheitsdienstleis- 
ter: Angestellter bespitzelt über Kame- 
ras Kunden beim Sex, www.heise.de 
23.01.2021, Kurzlink: https://heise. 
de/-5033734). 


Brasilien 


Vom Datenschutzpionier 
zum Datenschutzschluss- 
licht 


Über viele Jahre hinweg nahm Brasi- 
lien als die größte Demokratie Latein- 
amerikas eine Vorreiterrolle beim Da- 
tenmanagement und beim Datenschutz 
ein. 1995 wurde der brasilianische 
Internet-Lenkungsausschuss ins Leben 
gerufen. Das Stakeholder-Gremium half, 
Grundsätze für die Internetverwaltung 
festzulegen. Angetrieben durch Edward 
Snowdens Enthüllungen, leistete die 
Regierung von Dilma Rousseff 2014 Pio- 
nierarbeit mit dem Marco Civil, einer Art 
„Internet Bill of Rights”, die Tim Berners- 
Lee, der Erfinder des World Wide Web, 
lobte. Vier Jahre später verabschiedete 
der Kongress ein Datenschutzgesetz, das 
LGPD, das sich eng an die europäische 
Datenschutz-Grundverordnung anlehnt. 

Die Zeiten änderten sich mit Prä- 
sident Jair Bolsonaro. Schon vor der 
Covid-19-Pandemie hatte Brasiliens 
Regierung begonnen eine umfassende 
Infrastruktur zur Datenerfassung und 
Überwachung aufzubauen. Im Okto- 
ber 2019 unterzeichnete Bolsonaro ein 
Dekret, das alle Bundesbehörden dazu 
verpflichtet einen Großteil der Infor- 
mationen, die sie über brasilianische 
Staatsbürger besitzen - von Gesund- 
heitsdaten bis hin zu biometrischen An- 
gaben -, gemeinsam zu nutzen und in 
einer Master-Datenbank, dem Cadastro 
Base do Cidadäo, abzulegen. 
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Durch den Informationsaustausch 
will die Regierung offiziell Qualität und 
Konsistenz ihrer Daten erhöhen, um 
öffentliche Dienstleistungen zu verbes- 
sern, Wahlbetrug einzudämmen und 
Bürokratie abzubauen. Kritiker warnen 
jedoch: Eine solche Datenkonzentration 
unter Bolsonaros rechtsextremer Füh- 
rung könne leicht missbraucht werden, 
um Privatsphäre und bürgerliche Frei- 
heiten einzuschränken. Der Spielraum 
bei der Datenerfassung ist groß. Neben 
Basisinformationen wie Name, Famili- 
enstand und Beschäftigung soll das Ca- 
dastro biometrische Informationen wie 
Gesichtsprofile, Stimmproben, Iris- und 
Netzhautscans, Abdrücke von Fingern 
und Handflächen und sogar ein Profil 
des Gangs aufnehmen. Dem Austausch 
von Gesundheitsdaten sind keine Gren- 
zen gesetzt, selbst Gensequenzen dür- 
fen weitergegeben werden (Kemeny, 
Brasiliens Weg in die Datendiktatur, 
www.heise.de 19.11.2020, Kurzlink: 
https://heise.de/-4964683). 


Brasilien 


Daten der gesamten Bevöl- 
kerung offenbar geleakt 


Das brasilianische Labor für Cyber- 
sicherheit PSafe hat aufgedeckt, dass 
umfangreiche Datenbanken gehackt 
und so Datensätze von über 220 Mio. 
Brasilianern in Verbrecherhände gefal- 
len sein dürften. Darin enthalten sind 
vollständige Namen, Geburtsdaten und 
Steuernummern (CPF). CPF spielen im 
brasilianischen Alltag eine bedeuten- 
de Rolle. Betroffen sind demnach auch 
Informationen über Unternehmen und 
Behörden. Die Einwohnerzahl Brasiliens 
ist mit 212 Millionen kleiner als die Zahl 
der erlangten Datensätze. Zusätzlich 
zu den personenbezogenen Daten sei- 
en noch Informationen über mehr als 
104 Mio. Fahrzeuge dabei, einschließ- 
lich Fahrgestellnummer, Kennzeichen, 
Meldegemeinde, Farbe, Marke, Modell, 
Baujahr, Hubraum und Kraftstoffart. All 
diese Daten werden offenbar online zum 
Verkauf feilgeboten. 

Wie die Daten erbeutet wurden, liegt 
im Dunkeln. Die Tageszeitung „Estadäo” 
aus der Wirtschaftsmetropole Säo Paulo 
hält es für wahrscheinlich, dass es sich 
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um eine Datenbank der Bonitätsbewer- 
tungsfirma Seresa Experian handelt. Sie 
ist das brasilianische Pendant zur deut- 
schen Schufa und den nordamerikani- 
schen Credit Bureaus Equifax, Trans- 
union und Experian. Seresa Experian ist 
eine Tochterfirma Experians. 

Seresa Experian bewertet die Kredit- 
würdigkeit von Verbrauchern und Un- 
ternehmern. Journalisten des Estadäo 
berichten, sie hätten Zugang zu einem 
Teil der Daten bekommen; dort werde 
das Kreditbewertungsbüro erwähnt. 
Eine der Datenbanken gehört demnach 
zum Serasa-Dienst Mosaic. Das Unter- 
nehmen bestritt dies und versprach den 
Fall zu untersuchen. 

Der Jurist und Datenschutzexperte 
Bruno Bioni von der gemeinnützigen 
Organisation Data Privacy Brasil erklär- 
te: „Nach dem jetzigen Informations- 
stand handelt es sich um das größte 
und gefährlichste Datenleck in der Ge- 
schichte Brasiliens.“ Er vergleicht den 
Fall mit dem Hacker-Jackpot in den 
USA, als 2017 das Credit Bureau Equi- 
fax gehackt wurde und Daten über 145 
Millionen Menschen erbeutet wurden 
(DANA 3/2017, 170 £.). 

Emilio Simoni, Direktor des PSafe- 
Eigentümers dfndr lab, sieht erhebli- 
ches Gefahrenpotential für Verbraucher: 
„Diese Daten können leicht für Phishing 
verwendet werden. Sobald der Cyberkri- 
minelle die CPF und andere tatsächliche 
Daten der Person hat, wäre es ein Leich- 
tes, an kritischere Daten des Opfers zu 
gelangen, die zum Beispiel für die Bean- 
tragung von Krediten, Bankpasswörtern 
und die Beauftragung von Dienstleis- 
tungen verwendet werden könnten.” 
Der Fall sei erst durch das Verkaufsange- 
bot der Täter ans Tageslicht gekommen: 
„Die Cyberkriminellen stellen einen Teil 
der Datenbanken zur Verfügung, um 
den Wahrheitsgehalt der erlangten In- 
formationen zu beweisen. Profit wollen 
sie machen, indem sie tiefer gehende 
Daten wie E-Mails, Telefone, Kaufkraft- 
daten und Berufe der betroffenen Perso- 
nen verkaufen.” 

Das Datenleck dürfte die erste große 
Herausforderung der brasilianischen 
Datenschutzbehörde ANPD werden. 
Ein neues Datenschutzgesetz sieht 
empfindliche Strafen in Fällen wie die- 
sem vor, tritt allerdings erst im August 
2021 in Kraft (DANA 4/2018, 214 £.). 


Daher forderte Bioni die Verbraucher- 
schutzzentrale Senacon auf sich sofort 
einzuschalten (Löding, 220 Millionen 
Datensätze geklaut: Gefahr für alle 
Steuerzahler Brasiliens, www.heise.de 
26.01.2021; Kurzlink: https://heise. 
de/-5035563). 


China 


Social-Credit-System 
verzögert sich 


Das 2014 offiziell angekündigte So- 
zialkreditsystem Chinas inklusive einer 
Bürgerbewertung in Form eines „Citizen 
Score” verspätet sich. Das Verfahren soll 
ein wesentlicher Teil des chinesischen 
Überwachungsnetzes und sollte laut 
dem Plan der Zentralregierung in Peking 
bis Ende 2020 landesweit etabliert sein. 
Daraus wurde aber nichts; bislang bleibt 
es bei einer Reihe verteilter Pilotprojek- 
te in verschiedenen Städten und Regio- 
nen, die nicht interoperabel sind. 

2014 stellte die kommunistische 
Staatsführung ihre Initiative für ein 
umfassendes soziales Kreditsystem 
auf Basis von Scoring-Verfahren der 
Finanzwirtschaft zur Bonitätsprüfung 
offiziell vor. Es soll demnach die soziale 
Integrität stärken, „gegenseitiges Ver- 
trauen” fördern und soziale Konflikte 
verringern. Die chinesische Regierung 
erachtet das Vorhaben so als „dringen- 
de Voraussetzung für den Aufbau einer 
harmonischen sozialistischen Gesell- 
schaft”. 

Qian Sun von der gemeinnützigen Or- 
ganisation AlgorithmWatch beschreibt, 
dass die Vorgeschichte des Großprojekts 
bis 1999 zurückreicht. Einer der wich- 
tigsten Köpfe hinter dem System, Lin 
Junyue, soll das System demnach vor 
über 20 Jahren gefordert und geplant 
haben, um gegen Betrug und Fälschun- 
gen auf dem chinesischen Markt vorzu- 
gehen. Damals sei es im Wesentlichen 
auf den Finanzbereich ausgerichtet 
gewesen, um die Kreditfähigkeit von 
Käufern zu beurteilen und den Bruch 
vertraglicher Pflichten zu ahnden. 

2012 erweiterte Chinas mächtige Na- 
tionale Entwicklungs- und Reformkom- 
mission das Konzept um ein automati- 
siertes Bewertungsverfahren für soziale 
Integrität. Blaupausen für den „Citizen 
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Score” im Bereich Finanzen lieferten 
parallel der E-Commerce-Riese Alibaba 
über seine Tochter Ant Financial Servi- 
ces mit „Sesame Credit” sowie Tencent 
mit dem App-System WeChat. Die Zen- 
tralbank verweigerte 2018 aber neun 
einschlägigen Auskunfteien inklusive 
dervon Jack Ma geführten Ant Financial 
die Lizenz für die Teilnahme am geplan- 
ten nationalen sozialen Kreditsystem. 
Zuvor hatten die Zentralbank und 
die Reformkommission 2015 und 2016 
insgesamt 43 Pilotprojekte in Regionen 
und Städten ins Auge gefasst. Für kon- 
krete Tests wählten sie letztlich 28 aus, 
zu denen Metropolen wieSchanghaiund 
Suzhou gehören. Mit Punktabzügen und 
Strafen wie Sperren für Schnellzüge, 
Flüge, Luxushotels oder schnelles In- 
ternet muss dort etwa rechnen, wer zu 
viel Zeit mit Computerspielen verbringt, 
bei Rot über die Ampel geht, vor Fuß- 
gängerüberwegen nicht hält oder ein 
bestelltes Taxi nicht nimmt. Gerichte 
sollen mit diesem Instrument bis Mitte 
2019 allein 27 Millionen Bürger auf die 
„No Fly“-Liste gesetzt haben. 14 Millio- 
nen wurde die Bonität abgesprochen. Zu 
den Gesundheitsdaten, die die Systeme 
einschließen, gehören seit 2020 auch 


Ergebnisse von Tests auf das neuartige 
Coronavirus. 

Eine repräsentative Umfrage des In- 
stituts für Chinastudien der FU Berlin 
von 2018 hatte ergeben, dass 80% der 
chinesischen Online-Nutzer das Vor- 
haben befürworteten. Viele Menschen 
empfanden ein solches System dem- 
nach etwa als wichtig, um „instituti- 
onelle und requlatorische Lücken zu 
schließen“. Doch die Einstellung dazu 
scheint sich gewandelt zu haben. Laut 
der staatlichen Nachrichtenagentur 
Xinhua sorgten sich bei einer Umfrage 
im Juli 2020 70% der Teilnehmer über 
möglichen Missbrauch des Bewertungs- 
verfahrens. 

Der Wettbewerb zwischen verschie- 
denen staatlichen Kommissionen und 
lokalen Behörden hat gemäß Algo- 
rithmWatch dazu geführt die Definition 
von „Kredit“ zu überdehnen, was die zu- 
nehmende Skepsis in der Bevölkerung 
erklärt. Ende 2019 habe die Nationale 
Gesundheitskommission etwa darum 
gebeten Blutspenden einzubeziehen. 
Obwohl Städte wie Suzhou solche Akti- 
vitäten bereits berücksichtigt hätten, 
„löste der Schritt heftige Diskussionen 
innerhalb Chinas aus”. Wang Lu etwa, 


ein Ex-Manager der Zentralbank, habe 
gewarnt, dass fast alle sozialen Proble- 
me in den „Korb“ des Sozialkredits ge- 
worfen würden. 

Kritiker beschreiben das System auch 
als zu chaotisch. Es gebe keine zentrale 
Koordination und kein grundlegendes 
rechtliches Rahmenwerk. Dezember 
2020 veröffentlichte die Regierung 
zwar Richtlinien für Korrekturen; Loka- 
le Behörden hätten die Definition von 
„schlechtem Verhalten“ falsch verstan- 
den. Spucken in der Öffentlichkeit und 
Schwarzfahren etwa sollten nicht in die 
Bewertung einfließen. Das angekündig- 
te nationale Gesetz für den Ausbau und 
die Vereinheitlichung des Systems lässt 
weiter auf sich warten. Nach Ansicht 
von Jeremy Daum, Forscher am Paul Tsai 
China Center an der Yale Law School, 
geht es der Regierung in Peking im Kern 
um Propaganda. Den Bürgern solle bei- 
gebracht werden ehrlich zu sein. Die 
Rede vom „Citizen Score“ habe vor al- 
lem erzieherischen Charakter (Krempl, 
Citizen Score: Chinas soziales Kredit- 
system nicht mehr im Plan, www.heise. 
de 19.01.2021, Kurzlink: https://heise. 
de/-5028166). 


Technik-Nachrichten 


Microsoft-Patent kontrol- 
liert Körpersprache und 
Gesichtsmimik 


Microsoft hat ein Patent für ein Sys- 
tem beantragt, das die Körpersprache 
und Gesichtsausdrücke von Mitarbei- 
tern in einer Konferenz überwacht. Dies 
soll der Effektivitätssteigerung und Si- 
cherheit der Mitarbeiter dienen. In dem 
dafür eingereichten US-Patentantrag ist 
von „Qualitätssicherung” die Rede. Sen- 
soren überwachen mit dem „Meeting 
Inside Computing System” die Körper- 
sprache und Gesichtsausdrücke der an- 
wesenden Personen in einem Raum oder 
bei einem Online-Meeting. Dafür wird 
der Konferenzraum mit Kameras ausge- 
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stattet. Die Daten werden ausgewertet 
und mit vorangegangenen Meetings ab- 
geglichen. Das System macht dann ent- 
sprechende Verbesserungsvorschläge 
für kommende Konferenzen. Das kann 
ein Raumwechseln sein oder die Zeit, zu 
der die Mitarbeiter am fittesten erschei- 
nen. 

Bei Microsoft heißt es in dem Antrag, 
dass viele Systeme existieren, die der 
Buchung von Räumen dienen, dabei 
aber außer Acht lassen, dass jemand 
beispielsweise sieben Mitarbeiter für 
eine Konferenz in einen Raum einlädt, 
der nur für vier Menschen angenehm ist. 
Oder dass ein Mitarbeiter einen Raum 
für den Nachmittag bucht, obwohl die- 
ser gerade dann besonders warm und 
dadurch unangenehm ist: „Bisherigen 


Buchungsplattformen fehlt der Kon- 
text zur realen Welt.” Das könne nicht 
nur dazu führen, dass Meetings unpro- 
duktiv werden, sondern sogar negative 
Auswirkungen auf die Gesundheit der 
Mitarbeiter haben. Also sei es nötig, 
Qualitätsparameter festzulegen und 
einfließen zu lassen. 

Potenziell ließen sich auch die Smart- 
phones der Mitarbeiter mit dem Sys- 
tem verknüpfen, um zu sehen, ob je- 
mand nebenher etwas anderes macht. 
Zudem könne die Sprache daraufhin 
ausgewertet werden, ob jemand müde 
ist oder gelangweilt, so Microsoft. Ein 
Microsoft-Sprecher erklärte, dass man 
viele Patente einreiche, diese aber nicht 
unbedingt auch tatsächlich umgesetzt 
werden würden. 
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Anwenderüberwachung ist bei Mi- 
crosoft kein ganz neues Thema. Auch 
die Office-Suite 365 kann um Funktio- 
nen erweitert werden, mit denen Un- 
ternehmen die Arbeitsgepflogenheiten 
ihrer Belegschaft detailliert beobachten 
können. Das nennt sich dann „Work- 
place Analytics” und berechnet einen 


„Productivity Score“. Neben Technik- 
Informationen, die etwa aufzeigen, wie 
viel Zeit verloren geht, wenn Mitarbei- 
ter-PCs mit konventionellen Festplatten 
booten statt mit SSDs, sammelt die Soft- 
ware auch Informationen darüber, an 
wie vielen Tagen ein Mitarbeiter E-Mails 
und Yammer-Nachrichten verschickt, 


sowie welche Chat- und Nachrichten- 
kanäle er genutzt hat (Weiß, Microsoft 
beantragt Patent für Gesichts- und 
Körpersprache-Sensoren, www.heise.de 
01.12.2020, Kurzlink: https://heise. 
de/-4976505). 


Rechtsprechung 


OGH Österreich 


Weltweite Löschpflicht 
Facebooks bestätigt 


Der Oberste Gerichtshof (OGH) Öster- 
reichs hat mit Urteilvom 12.11.2020 das 
soziale Netzwerk Facebook verpflichtet, 
Beleidigungen der Grünen-Politikerin 
Eva Glawischnig-Piesczek und sinnglei- 
che Einträge weltweit zu löschen (Az. 
6 Ob 195/19y). Damit bestätigen die 
Richter in Wien in dem schon Jahre dau- 
ernden Rechtsstreit die vorinstanzliche 
Entscheidung. 2019 hatte auch der Eu- 
ropäische Gerichtshof (EuGH) geurteilt, 
dass Facebook gezwungen werden kann, 
Beleidigungen nicht nur im jeweils be- 
troffenen Land, sondern für alle Nutzer 
zu löschen (DANA 4/2019, 235 £.). Mark 
Zuckerberg hatte das als bedenklich be- 
zeichnet. 

In dem Rechtsstreit geht es um Ein- 
träge auf Facebook, in denen ein Nutzer 
die damalige Vorsitzende der Grünen 
Österreichs als „korrupter Trampel” und 
„miese Volksverräterin” bezeichnet hat- 
te. Nach einer Unterlassungsverfügung 
hatte die Politikerin auch die Löschung 
wortgleicher und sinngleicher Beiträge 
gefordert. Der später angerufene EuGH 
hatte entschieden, dass Facebook tat- 
sächlich gezwungen werden kann, ähn- 
liche und gleichlautende Ehrbeleidi- 
gungen und Diffamierungen zu suchen 
beziehungsweise weltweit zu löschen. 
Facebook war dem nicht nachgekom- 
men und hatte den Eintrag nur in Öster- 
reich entfernt. 

Der OGH schloss sich dem nun an und 
gab Glawischnig-Piesczek in ihrer For- 
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derung Recht: Facebook müsse weltweit 
verhindern, dass Inhalte verbreitet und 
veröffentlicht werden, in denen die ge- 
nannten Beleidigungen beziehungswei- 
se sinngleiche vorkommen. Das gelte 
auch für die Äußerung, die Politikerin 
sei Mitglied einer „Faschistenpartei”. 
Bei dem Urteil handelt es sich um die 
Letztentscheidung in dem sogenannten 
Sicherungsverfahren. Zwar steht noch 
das Hauptverfahren aus. In diesem gehe 
es aber nicht mehr um den Umgang mit 
den Beiträgen, sondern um die Heraus- 
gabe der Nutzerdaten, um Schadens- 
ersatzansprüche und die Frage der Ur- 
teilsveröffentlichung (Holland, Oberster 
Gerichtshof Österreichs: Facebook muss 
Beleidigungen weltweit löschen, www. 
heise.de 12.11.2020, Kurzlink: https:// 
heise.de/-4958768). 


Britischer High Court 


Staatliche Hackingziele 
sind präzise zu benennen 


Der britische High Court, der bedeu- 
tende Fälle in erster Instanz behandelt, 
hat in einem Urteil vom 09.01.2021 die 
bisherige breite Befugnis der Spionage- 
behörde GCHQ für internationale Cyber- 
angriffe eingegrenzt. Der Geheimdienst 
darf demnachnicht mehrim Ausland auf 
Basis allgemeiner, nicht auf spezifische 
Maßnahmen ausgerichteter Gerichtsa- 
nordnungen - etwa per Staatstrojaner 
- in Smartphones, Computer und ganze 
Netzwerke eindringen. 

Die Richter stellten auf Klage der 
Bürgerrechtsorganisation Privacy In- 


ternational hin fest, dass Abschnitt 5 
des Intelligence Services Act (ISA) von 
1994 es Sicherheitsbehörden wie Ge- 
heimdiensten nicht erlaubt sich auf 
solche breiten „thematischen“ Durch- 
suchungsbefehle zum Hacken von IT- 
Systemen und Kommunikationsnetzen 
zu stützen. Konkrete Ziele der Spionage 
müssten in entsprechenden Anordnun- 
gen klar benannt werden. Nur so könn- 
ten die grundlegenden Verfassungs- 
prinzipien des Vereinigten Königreichs 
und die Bestimmungen des allgemeinen 
britischen Rechts eingehalten werden. 
In dem Urteil untermauert der High 
Court das Prinzip, dass ein Durchsu- 
chungsbefehl nicht so weit gefasst sein 
darf, dass er den Ausführenden einen 
erheblichen Ermessensspielraum ein- 
räumt. Er kann sich etwa nicht auf eine 
ganze Klasse von Gegenständen, Perso- 
nen oder Verhaltensweisen erstrecken 
wie etwa „alle Mobiltelefone, die von ei- 
nem Mitglied einer kriminellen Vereini- 
gung benutzt werden”. Vielmehr müssen 
etwa dieNamen, Standorte oder Kennun- 
gen Verdächtigter angegeben werden. 
Laut dem britischen Überwachungs- 
gesetz „Investigatory Powers Act” von 
2016 darf der GCHQ massive Eingriffe in 
technische Gerätschaften vornehmen. 
Die britische Regierung hatte 2018 die 
Parole ausgegeben, dass der Geheim- 
dienst diese zunächst für Einzelfälle in 
Ausnahmen vorgesehene Kompetenz 
öfter anwenden solle und damit erneut 
Proteste bei Datenschützern ausgelöst. 
Privacy International geht seit vielen 
Jahren gegen diese Ermächtigung zur 
Massenüberwachung vor. Die Beschwer- 
deführer hatten sich 2014 zunächst an 
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das zuständige nationale Gericht ge- 
wandt, das Investigatory Powers Tribu- 
nal (IPT). Dieses hatte die Klage 2016 
zurückgewiesen, aber erstmals die 
massiven, von Edward Snowden publik 
gemachten GCHQ-Spionageaktivitäten 
bestätigt und „ernsthafte Fragen” damit 
verknüpft. 

Die Aktivisten verfolgten ihr Anliegen 
weiter durch die Instanzen. 2019 gab 
ihnen schließlich der Supreme Court 
weitgehend Recht. Das oberste briti- 
sche Gericht urteilte, dass Entscheidun- 
gen des IPT vom High Court überprüft 
werden können und das Prinzip der 
Rechtsstaatlichkeit gewährt werden 
muss. Privacy International wandte sich 
daraufhin erneut an die zuständige In- 
stanz und erstritt nun die Klarstellun- 
gen. Der IPT beziehungsweise die briti- 
sche Regierung können dagegen noch 
in Berufung gehen. Tun sie dies nicht, 
müssen sie die Anordnungspraxis ein- 
schränken. 

2018 hatte der Supreme Court schon 
entschieden, dass die britischen Ge- 
heimdienste GCHQ, MI5 und MI6 sich 
jahrelang illegal massenhaft Zugang zu 
Daten von Internetnutzern verschafft 
hatten. Caroline Wilson Palow, Justizi- 
arin von Privacy International, sprach 
angesichts der Ansage des High Court 
nunvon einem historischen Sieg. Dieser 
übertrage 250 Jahre alte Rechtsprinzi- 
pien in die Neuzeit. Die Regierung sei 
viel zu lang mit den viel zu breiten An- 
ordnungen durchgekommen (Krempl, 
Spionage: Britisches Gericht schränkt 
massenhaftes GCHQ-Hacking ein, www. 
heise.de 10.01.2021, Kurzlink: https:// 
heise.de/-5019452). 


BVerfG 


Antiterrordatei-Regelung 
zu Data-Mining verfas- 
sungswidrig 


Das Bundesverfassungsgericht (BVerfG) 
hat mit Beschluss vom 11.12.2020 die 
Regelungen zur Antiterrordatei (ATD) 
in Teilen für verfassungswidrig erklärt 
(Az. 1 BvR 3214/15). Es entsprach da- 
mit dem Beschwerdeführer, der sich 
durch 8 6a Abs. 2 Satz 1 des der Datei 
zugrundeliegenden Gesetzes (ATDG) in 
seinem Grundrecht auf informationelle 
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Selbstbestimmung verletzt sieht. 8 6a 
ATDG ermächtigt die Sicherheitsbehör- 
den erstmalig zur erweiterten Nutzung, 
also Data Mining von Datenarten, die 
in der Antiterrordatei gespeichert sind. 
Das gelte über den Datenaustausch un- 
ter den Behörden hinaus auch zur ope- 
rativen Aufgabenwahrnehmung: „g 6a 
ATDG gestattet damit die unmittelbare 
Nutzung der Antiterrordatei auch zur 
Generierung neuer Erkenntnisse aus 
den Querverbindungen der gespeicher- 
ten Datensätze. Dies war bisher nur in 
Eilfällen möglich.” 

Das BVerfG stellte fest, dass der be- 
anstandete & 6a Abs. 2 Satz 1 nicht 
dem informationellen Trennungsprin- 
zip entspricht. Wenn Polizeibehörden 
eine Verbunddatei erweitert nutzten 
und es dadurch zu mehr Belastungen 
komme, müsse dies „auf der Grundlage 
präzise bestimmter und normenklarer 
Regelungen an hinreichende Eingriffs- 
schwellen gebunden sein”. Dem genügt 
86a ATDG nicht. 

Die 2006 beschlossene und 2007 ein- 
gerichtete Antiterrordatei (ATD) wird 
vom Bundeskriminalamt (BKA) geführt 
und steht den Polizeibehörden und 
Nachrichtendiensten des Bundes und 
der Länder zur Verfügung. Die Daten- 
sammlung soll helfen, durch schnellen 
Informationsaustausch insbesondere 
islamistische Terroranschläge zu ver- 
hindern. Die ATD war zunächst als Ver- 
bunddatei für 38 Ämter und Geheim- 
dienste lediglich als Fundstellennach- 
weis ausgestaltet. Ein direkter Zugriff 
war nur aufwenige Grunddaten von Per- 
sonen aus der Terrorszene erlaubt, etwa 
Name, Anschrift, Staatsangehörigkeit. 
Wer Details erfahren wollte - etwa die 
Tätigkeit in Infrastrukturbetrieben oder 
terrorismusrelevante Fähigkeiten - 
musste sich die Freigabe der speichern- 
den Behörde holen. 

Mit Urteil vom 24.04.2013 hatte das 
BVerfG mehrere Vorschriften des Geset- 
zes für unvereinbar mit dem Grundge- 
setz erklärt (Az. 1 BvR 1215/07). Der 
Kreis der damals 18.000 gespeicherten 
Personen war dem Gericht zu opulent. 
Kontaktpersonen durften nicht mehr so 
einfach gespeichert werden. Menschen 
sollten nicht ohne eigenes Zutun in die 
Mühlen der Sicherheitsbehörden gera- 
ten können. Schon damals mahnte das 
Gericht nachdrücklich eine „informati- 


onelle” Trennung zwischen Polizei und 
Geheimdiensten an. Der Grundgedanke 
dabei ist, dass die Nachrichtendiens- 
te freier bei der Informationserhebung 
sind, weil sie im Unterschied zur Poli- 
zei keine operativen Befugnisse haben. 
Diese Unterschiede dürfen nicht durch 
die Hintertür des Informationsaus- 
tauschs verwischt werden. Daraufhin 
änderte der Gesetzgeber die beanstan- 
deten Vorschriften und ergänzte das 
ATDG 2015 um den Paragraph 6a, der 
eine „erweiterte Nutzung“ der Daten 
erlaubt und um den es nun in Karlsruhe 
ging. Seinerzeit klagte wie diesmal ein 
pensionierter Richter. 

Die angegriffene Vorschrift hat fol- 
genden Wortlaut: „Eine beteiligte Be- 
hörde des Bundes darf zur Erfüllung 
ihrer gesetzlichen Aufgaben die in der 
Datei nach $ 3 gespeicherten Datenar- 
ten mit Ausnahme der nach 8 4 verdeckt 
gespeicherten Daten erweitert nutzen, 
soweit dies im Rahmen eines bestimm- 
ten einzelfallbezogenen Projekts für die 
Verfolgung qualifizierter Straftaten des 
internationalen Terrorismus im Einzel- 
fall erforderlich ist, um weitere Zusam- 
menhänge des Einzelfalls aufzuklären.” 

Das Bundesamt für Verfassungsschutz 
(BfV) hatte für die erweiterte Nutzung 
mit dem damit verbundenen „erheb- 
lichen Mehrwert” geworben. Mit der 
Datenanalyse könnten z.B. Reisewege 
nach Syrien oder in den Irak mit sons- 
tigen Verdachtsmomenten verknüpft 
werden und so neue Ermittlungsansät- 
ze generiert werden. Ein solches „Data 
Mining” war gemäß BfV-Angaben bisher 
noch nichtim Einsatz. Das BVerfG meint, 
dass für die erweiterte Nutzung der ATD 
zumindest tatsächliche Anhaltspunk- 
te für die Entstehung einer konkreten 
Gefahr vorliegen müssen. Auch müsse 
die erweiterte Nutzung zur Informati- 
onsauswertung zur Aufklärung einer 
bestimmten, nachrichtendienstlich 
beobachtungsbedürftigen Aktion oder 
Gruppierung im Einzelfall geboten sein. 
Zur Verfolgung einer Straftat bedürfe es 
eines begründeten Verdachts, für den 
konkrete und verdichtete Umstände als 
Tatsachenbasis vorhanden sind (Wil- 
kens, Antiterrordatei-Gesetz ist teil- 
weise verfassungswidrig, www.heise.de 
11.12.2020; Kurzlink: https://heise. 
de/-4986674; Janisch, Nur bei konkre- 
ter Gefahr, SZ 12./13.12.2020, 8). 
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BVerwG 


Rolf Gössner nach 40 
Jahren BfV-Beobachtung 
höchstrichterlich 
rehabilitiert 


Das Bundesverwaltungsgericht (BVer- 
wG) hat mit Urteil vom 14.12.2020 in 
dritter und letzter Instanz nach 15 Jah- 
ren Verfahrensdauer ein Urteil des Ober- 
verwaltungsgerichts NRW aus dem Jahr 
2018invollem Umfang bestätigt, wonach 
die 38 Jahre währende geheimdienstli- 
che Überwachung und Ausforschung des 
Rechtsanwalts, Publizisten und Bürger- 
rechtlers Rolf Gössner durch das beklagte 
Bundesamt für Verfassungsschutz (BfV) 
unverhältnismäßig und grundrechtswid- 
rig war (Az. 6C 11.18). 

Das BfV hatte Rolf Gössner zum 
„Staats- und Verfassungsfeind” erklärt. 
Mit dem Urteil des BVerwG ist er nun 
endgültig rechtskräftig rehabilitiert. 
Das Verfahren endete gegen ein BfV, das 
zuletzt von Bundesinnenminister Horst 
Seehofer (CSU) und zuvor seit 1970 von 
weiteren 13 Bundesinnenministern und 
12 BfV-Präsidenten verantwortet wurde. 

Rolf Gössner sieht in den Urteilen des 
BVerwG und der vorangegangenen Ins- 
tanzen einen „gerichtlichen Sieg über 
geheimdienstliche Verleumdungen und 
Willkür sowie über antidemokratische 
Denk-, Interpretations- und Handlungs- 
muster eines staatlichen Sicherheits- 
organs” und „eine klare Entscheidung 
zugunsten der Meinungs-, Presse- und 
Berufsfreiheit und der informationellen 
Selbstbestimmung”. 

Der Prozessvertreter von Gössner 
Rechtsanwalt Udo Kauß wies daraufhin, 
dass sich der „Verfassungsschutz” 15 
Jahre lang erbittert gegen die Verdikte 
der Justiz zur Wehr gesetzt hat. Gesin- 
nungsschnüffelei und Gesinnungskon- 
trolle müssten rechtssicher unterbun- 
den werden, „nicht nurzum Schutzevon 
- u.a. anwaltlichen - Berufsgeheimnis- 
sen, die unter Überwachungsbedingun- 
gen nicht mehr zu gewährleisten sind, 
sondern gegenüber Jedermann.” 

Gössner war seit 1970 vier Jahrzehnte 
lang ununterbrochen vom BfV geheim- 
dienstlich beobachtet und ausgeforscht 
worden - schon als Jurastudent, spä- 
ter als Gerichtsreferendar und seitdem 
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ein Arbeitsleben lang in allen seinen 
beruflichen und ehrenamtlichen Funk- 
tionen als Publizist, Rechtsanwalt, par- 
lamentarischer Berater, später auch als 
Präsident der Internationalen Liga für 
Menschenrechte und seit 2007 zudem 
als stellvertretender Richter am Staats- 
gerichtshof der Freien Hansestadt Bre- 
men. Es dürfte die längste Dauerbeob- 
achtung einer unabhängigen, parteilo- 
sen Einzelperson durch den Inlandsge- 
heimdienst sein, die bislang dokumen- 
tiert werden konnte. 

Zur Last gelegt wurden ihm berufliche 
und ehrenamtliche Kontakte zu angeb- 
lich „linksextremistischen“ und „links- 
extremistisch beeinflussten” Gruppen 
und Veranstaltern, bei denen er refe- 
rierte und diskutierte, aber auch zu 
bestimmten Presseorganen, in denen er 
- neben vielen anderen Medien - veröf- 
fentlichte, denen er Interviews gab oder 
in denen über seine Aktivitäten berich- 
tet wurde. Mit seinen Kontakten, publi- 
zistischen Beiträgen und Vorträgen soll 
er, so die Unterstellung, nicht verbo- 
tene, aber vom BfV als „linksextremis- 
tisch” eingestufte Gruppen und Organe 
„nachdrücklich unterstützt” haben; er 
soll sie - so wörtlich - als „prominenter 
Jurist“ aufgewertet und gesellschafts- 
fähig gemacht haben. Aus vollkommen 
legalen und legitimen Berufskontakten 
wurde so eine Art von Kontaktschuld 
konstruiert. 

Im Laufe des 15-jährigen Klagever- 
fahrens hatte das BfV dann neue Vor- 
würfe gegen Gössner nachgeschoben, 
die zuvor keinerlei Rolle gespielt hat- 
ten. Auf Misskredit stieß insbesondere 
Gössners inhaltlich begründete Kritik 
an der bundesdeutschen Sicherheits- 
und Antiterrorpolitik und an den Si- 
cherheitsorganen. 

Über den Einzelfall hinausgehend hat 
das Urteil des BVerwG Bedeutung für 
andere Publizisten, Anwälte und Men- 
schenrechtler in Bezug auf das Mandats- 
geheimnis und den Informantenschutz. 
Die verfassungsrechtlich geschützten 
Vertrauensverhältnisse zwischen An- 
walt und Mandant sowie zwischen Jour- 
nalist und Informant, die Berufsfreiheit 
und berufliche Praxis waren durch die 
Beobachtung und Diskreditierung Göss- 
ners beeinträchtigt (PE RA Kauß, Vier 
Jahrzehnte „Verfassungsschutz”-Skan- 
dalrechtskräftig beendet, 17.12.2020). 


BGH 


Bei Urheberrechtsverstoß 
gibt es nur die Postadresse 


Der Bundesgerichtshof (BGH) hat mit 
Urteil vom 10.12.2020 auf eine Klage 
des Filmverleihers Constantin gegen 
Youtube entschieden, dass die Video- 
plattform bei einer Urheberrechtsver- 
letzung nicht mehr als die Postanschrift 
an den Kläger herausrücken muss (Az. I 
ZR 153/17). Dieser wollte der Filmindu- 
strie wirksamere Instrumente im Kampf 
gegen illegale Uploads verschaffen und 
eine Auskunft auch über Mail- und IP- 
Adressen der Nutzer durchsetzen. 

Mit der Postanschrift können aber 
Unternehmen wie die Constantin wenig 
anfangen: Wer illegal Filme hochlädt, 
gibt selten seine korrekte Anschrift an, 
sondern eher - wie im verhandelten Fall 
- einen falschen Namen und eine Fanta- 
sieadresse. Die Anwälte von Constantin- 
Film pochten deshalb darauf, dass die 
einschlägigen Vorschriften ihnen doch 
auch Zugriff auf weitere Daten gewähren 
müssten, mit denen sie die Verdächtigen 
aufspüren können. Im deutschen Urhe- 
bergesetz bezieht sich der Auskunfts- 
anspruch allerdings nur auf „Name und 
Anschrift”, in der einschlägigen EU- 
Richtlinie ist von „Namen und Adressen” 
die Rede. Der BGH hatte den Europäi- 
schen Gerichtshof (EuGH) zur Klärung 
der Frage angerufen. Das EuGH-Urteil 
vom 09.07.2020 gab das vor, was der BGH 
nun nachgezeichnet hat (C-264/17): 
Es besteht kein Anspruch auf Mail- oder 
IP-Adressen oder Telefonnummern, son- 
dern lediglich darauf, dass Youtube die 
altmodische Postadresse übermittelt. 
Womit die Auskunftsklagen weitgehend 
ins Leere gehen. Der Senatsvorsitzende 
Thomas Koch erklärte bei der Urteilsver- 
kündung: „Die Entscheidung des EuGH 
ist für uns bindend.” 

Unternehmen greifen in der Praxis 
inzwischen auf andere Instrumente 
zurück, um gegen illegale Uploads vor- 
zugehen. Google hat für Youtube ein 
Content-ID-System entwickelt, eine 
Art Datenbank, in der die Medienkon- 
zerne ihre Dateien für den Abgleich auf 
Youtube abspeichern. Hochgeladene 
Filme können dann entweder geblockt 
oder zu Geld gemacht werden, indem 
der Rechteinhaber Werbung schaltet. 
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Viele Medienkonzerne haben ohnehin 
Lizenzvereinbarungen mit Youtube ge- 
schlossen, wie ein Youtube-Anwalt am 
Rande der Verhandlung Oktober 2020 
erläutert hatte. Über so eine Lizenz pro- 
fitieren die Produzenten sogar finanziell 
von den Uploads, und Youtube bleibt als 
Plattform attraktiv. 

Derweil wird der Schutz der Urheber 
neu aufgestellt. Das Bundesjustizmi- 
nisterium legte einen Referentenent- 
wurf vor, mit dem mehrere EU-Urheber- 
rechts-Richtlinien in deutsches Recht 
umgesetzt werden sollen. Teil der Re- 
form ist auch eine wirksamere Haftung 
von Plattformen wie Youtube. Entweder 
müssen diese demnach Lizenzen für die 
hochgeladenen Filme und Lieder kau- 
fen oder dafür sorgen, dass sie von ihrer 
Plattform verschwinden (Janisch, Ad- 
resse genügt, SZ 11.12.2020, 21). 


BSG 


Kein Anspruch auf analoge 
Krankenversichertenkarte 


Gesetzlich Krankenversicherte kön- 
nen gemäß einem Urteil des Bundesso- 
zialgerichts (BSG) vom 20.01.2021 von 
ihrer Krankenkasse keinen Nachweis 
ihrer Versicherung auf Papier als Alter- 
native zur elektronischen Gesundheits- 
karte (eGK) verlangen. Die Kasseler 
Richter haben in zwei Verfahren aus 
Nordrhein-Westfalen und Rheinland- 
Pfalz entschieden (Az. B 1 KR 7/20 R 
sowie B1KR 15/20RR). Sie stellten fest, 
dass die gesetzlichen Regelungen zur 
eGK im Einklang mit der Europäischen 
Datenschutz-Grundverordnung (DS- 
GVO) stehen und die Kläger auch nicht 
in ihren Grundrechten verletzen. 

Um Leistungen der Krankenversiche- 
rung in Anspruch nehmen zu können, 
müssen Versicherte ihre Berechtigung 
mit der Gesundheitskarte nachweisen. 
Auf dem Chip sind Versichertendaten 
wie Name, Anschrift, Versichertensta- 
tus und -nummer gespeichert. Die bei- 
den Kläger hatten unter anderem Daten- 
schutzbedenken vorgebracht und sahen 
sich in ihrem Recht auf informationelle 
Selbstbestimmung verletzt. Die auf der 
Chipkarte gespeicherten Daten und die 
dahinter stehende zentralisierte Daten- 
verarbeitung seien nicht sicher (Kein 
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Anspruch auf papierenen Ersatz für 
elektronische Gesundheitskarte, www. 
heise.de 21.01.2021, Kurzlink: https:// 
heise.de/-5031259). 


OLG München 


Facebooks Klarnamen- 
pflicht ist zulässig 


Das Oberlandesgericht (OLG) Mün- 
chen entschied am 08.12.2020 in zwei 
Fällen zugunsten des sozialen Netz- 
werks Facebook, dass dieses Nutzer die 
Verwendung von Pseudonymen verbie- 
ten kann und befand damit dessen so- 
genannte Klarnamenpflicht für rechtens 
(Az. 18 U 2822/19 Preund 18 U 5493/19 
Pre). Facebook habe „angesichts eines 
mittlerweile weit verbreiteten sozial- 
schädlichen Verhaltens im Internet“ ein 
berechtigtes Interesse, so bereits prä- 
ventiv auf seine Nutzer einzuwirken. 

In den beiden vorliegenden Fällen 
hatte Facebook die Profile zweier Perso- 
nen gesperrt, die Fantasienamen ver- 
wendeten. Die Landgerichte Traunstein 
und Ingolstadt hatten dazu in erster 
Instanz unterschiedlich entschieden. In 
Ingolstadt war die Klarnamenpflicht ver- 
worfen, in Traunstein bestätigt worden. 
Beim in Traunstein verhandelten Fall 
waren zudem rassistische Postings über 
schwarze Kannibalen und einen tanzen- 
den Adolf Hitler hinzugekommen. 

Das OLG München entschied, dass Fa- 
cebooknichtgemäß 8 13 Abs. 65. 1 Tele- 
mediengesetz (TMG) verpflichtet sei die 
Nutzung der Dienste unter einem Pseu- 
donym zu ermöglichen. Die AGB von 
Facebook, die den Nutzer verpflichten 
den im bürgerlichen Alltag verwende- 
ten Namen anzugeben, seirechtens. Das 
TMG ist gemäß der Entscheidung grund- 
sätzlich anwendbar. Zwar hat Facebook 
seinen Sitz in Irland. Für Verbraucher 
mit ständigem Wohnsitz in Deutschland 
gelte jedoch gemäß den Nutzungsbe- 
dingungen deutsches Recht. 8 13 Abs. 6 
S. 1 TMG werde auch nicht durch die Da- 
tenschutz-Grundverordnung (DSGVO) 
verdrängt. Zwar enthalte die DSGVO, die 
grundsätzlich vorrangig anwendbar sei, 
keine dem 8 13 Abs. 6 S. 1 TMG entspre- 
chende Bestimmung. Die Entstehungs- 
geschichte der DSGVO zeige zudem, dass 
dies vom Gesetzgeber so gewollt war. Er 


habe bewusst davon abgesehen, Anbie- 
ter von Telemedien zu verpflichten, die 
anonyme oder pseudonyme Nutzung zu 
gestatten. 

Diese Entstehungsgeschichtelässt das 
OLG in die Zumutbarkeitsprüfung nach 
8 13 Abs. 6 S. 1 TMG einfließen und löst 
den Konflikt über eine europarechts- 
konforme Auslegung. Die Vorschrift 
verpflichte den Anbieter von Teleme- 
dien nämlich nur insoweit dazu, eine 
anonyme oder pseudonyme Nutzung zu 
ermöglichen, als ihm das zumutbar ist. 
Aufgrund der Entstehungsgeschichte 
der DSGVO sei Facebook hierbei ein gro- 
ßer Spielraum zuzusichern. 

Diesen Spielraum habe Facebook 
nicht überschritten. Facebook begrün- 
det die in seinen Nutzungsbedingungen 
festgelegte Klarnamenpflicht folgen- 
dermaßen: „Wenn Personen hinter ihren 
Meinungen und Handlungen stehen, ist 
unsere Gemeinschaft sicherer und kann 
stärker zur Rechenschaft gezogen wer- 
den.” Dieser Begründung folgt das OLG. 
Die Verpflichtung zur Verwendung des 
echten Namens sei geeignet, Nutzer 
von einem rechtswidrigen Verhalten 
im Internet abzuhalten: „Bei der Ver- 
wendung eines Pseudonyms liegt die 
Hemmschwelle nach allgemeiner Le- 
benserfahrung deutlich niedriger.” Fa- 
cebook sei daher nicht zumutbar, die 
Verwendung von Pseudonymen zu er- 
möglichen (Facebook darf Pseudonyme 
verbieten, www.lto.de 08.12.2020). 


OLG Dresden 


Sofortige E-Mail-Account- 
Löschung nach Vertragsbe- 
endigung ist unzulässig 


Gemäß einem Beschluss des Ober- 
landesgerichts Dresden (OLG) vom 
05.09.2012 darf nach Beendigung ei- 
nes Vertragsverhältnis der betriebliche 
E-Mail-Account erst gelöscht werden, 
wenn der ehemalige Inhaber an der Nut- 
zung des Accounts kein Interesse mehr 
hat (4 W 961/12). Einem Fahrradkurier 
wurde während seiner Tätigkeit für ei- 
nen Kurierdienst ein E-Mail-Account 
zur Verfügung gestellt. Nachdem das 
Vertragsverhältnis beendet wurde, 
löschte das Unternehmen den Account. 
Der Kurier verlangte Herausgabe der 
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unter seinem ehemaligen Account abge- 
speicherten E-Mails. Da das Landgericht 
Leipzig einen Herausgabeanspruch ver- 
neinte, wendete er sich an das Oberlan- 
desgericht Dresden. 

Das OLG verneinte einen Anspruch 
auf Herausgabe der Daten an den Ku- 
rier, da der Kurierdienst aufgrund der 
Löschung des Accounts keinen Zugriff 
mehr auf die Daten hatte. Die Herausga- 
be sei ihm daher nicht mehr möglich ge- 
wesen (8 275 Abs. 1 BGB). Es bestätigte 
aber einen Anspruch auf Schadenersatz 
wegen eines Verstoßes gegen vertragli- 
che Nebenpflichten (8 280 BGB). Wer- 
de nämlich im Zusammenhang eines 
Vertragsverhältnisses dem Beschäftig- 
ten ein E-Mail-Account zur Verfügung 
gestellt, auf dem dieser auch private 
E-Mails abspeichern darf, entspreche 
es den vertraglichen Nebenpflichten, 
den Account nach Beendigung der 
Zusammenarbeit solange nicht zu lö- 
schen, bis klar sei, dass der Beschäftig- 
te kein Interesse mehr an der Nutzung 
des Accounts hat. Zudem begründete 
das OLG den Schadensersatzanspruch 
mit & 823 Abs. 2 BGB in Verbindung 
mit 8 303a StGB, da die Löschung des 
Accounts eine strafbare Löschung und 
Unbrauchbarmachung von Daten ge- 
mäß 8 303a StGB dargestellt habe (Be- 
trieblicher E-Mail-Account darf nicht 
sofort nach Beendigung des Vertrags- 
verhältnisses gelöscht werden, www. 
kostenlose-urteile.de). 


LG Bonn 


BfDI-Strafe gegen 1&1 
reduziert 


Das Landgericht Bonn (LG) hat mit 
Urteil vom 11.11.2020 eine 9,6-Millio- 
nen-Euro-Strafe des Bundesbeauftrag- 
ten für den Datenschutz und die Infor- 
mationsfreiheit (BfDI) Ulrich Kelber 
wegen DSGVO-Verstoßes gegen die 1&1 
Telecom GmbH für unverhältnismäßig 
erklärt und reduziert. 1&1 soll jetzt 
900.000 Euro zahlen. Das Verschulden 
des Unternehmens aus Montabaur in 
Rheinland-Pfalz bei der Herausgabe von 
Kundendaten ist nach Ansicht des Ge- 
richts gering. 

Bei dem Datenschutzverstoß ging es 
um den Anruf einer Frau bei der 1&1-Hot- 
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line im Jahr 2018. Die Stalkerin bekam 
die neue Handynummer ihres Ex-Mannes 
heraus, nurindem sie seinen Namen und 
sein Geburtsdatum nannte - das hätte 
nicht geschehen dürfen. In diesem la- 
xen Authentifizierungsverfahren sah 
der BfDI einen grob fahrlässigen Verstoß 
gegen Artikel 32 Datenschutz-Grund- 
verordnung (DSGVO) und verhängte die 
Millionenbuße, wogegen sich die Firma 
gerichtlich zur Wehr setzte. 

Die DSGVO schreibt vor, dass Unter- 
nehmen geeignete technische und or- 
ganisatorische Maßnahmen ergreifen 
müssen, um die Verarbeitung personen- 
bezogener Daten systematisch zu schüt- 
zen. 1%&1 räumte den Datenschutzver- 
stoß ein, stellte ihn aber als Einzelfall 
dar - und eben nicht als ein systemati- 
sches Problem. Zudem sei die von Kelber 
verhängte Geldbuße unverhältnismäßig 
hoch. 

Das Gericht bestätigte in der Sache 
den Datenschutzverstoß. Es handele 
sich aber nur um einen geringen Ver- 


stoß, der nicht „zur massenhaften Her- 
ausgabe von Daten an Nichtberechtigte” 
habe führen können. Da die über Jahre 
bei 1&1 geübte Authentifizierungspra- 
xis bis zu dem Bußgeldbescheid nicht 
beanstandet worden sei, habe es dort an 
dem notwendigen Problembewusstsein 
gefehlt. 

Trotz abgesenkter Strafe sah sich 
Bundesdatenschützer Kelber durch das 
Urteil bestätigt. Das Gericht sei der 
Auffassung des BfDI in wesentlichen 
Punkten gefolgt. Das Urteil zeige, dass 
Datenschutzverstöße nicht ohne Fol- 
gen blieben: „Ich bin überzeugt, dass 
diese Entscheidung in den Chefetagen 
von Unternehmen wahrgenommen 
wird. Klar ist schon jetzt: Kein Unter- 
nehmen kann es sich mehr leisten den 
Datenschutz zu vernachlässigen” (Kan- 
nenberg, Datenschutzverstoß bei 1&1: 
Gericht senkt Millionenstrafe deutlich 
ab, www.heise.de 11.11.2020, Kurzlink: 
https://heise.de/-4957463). 


Buchbesprechungen 


Prof. Dr. Dieter Frey, LL.M. (Hrsg.) 
eSport und Recht - Handbuch 
2021, 388 Seiten, broschiert, 
ISBN 978-3-8487-5584-4, 78 € 


(ha) Insbesondere für Nicht-Juristen 
kann es schwierig sein sich über die 
rechtlichen Rahmenbedingungen im 
Sport und erst recht im neu und stetig 
wachsenden eSport-Bereich zu ori- 


entieren. Eine Vielzahl von Akteuren 
versucht dort mitzumischen und ihren 
Platz in diesem „Ökosystem“ zu finden. 
Darauf reagiert das aktuell vorliegende 
Handbuch „eSport und Recht”, heraus- 
gegeben von Prof. Dieter Frey mit Bei- 
trägen von insgesamt zehn Anwältinnen 
und Anwälten, „als erstes juristisches 
Praxiswerk* durch Einordnung der 
„zum Teil komplexen Interaktionen und 
Rechtsbeziehungen”. 

Aufgeteilt in acht Kapitel mit insge- 
samt 31 (fortlaufend nummerierten) 
Paragrafen als Unterkapitel wird der 
eSport als eigene Sportart ebenso prob- 
lematisiert wie die Rolle der verschiede- 
nen Akteure, von Organisationen, Profis, 
Veranstaltern und Zuschauern bis zu 
den Medien und Werbetreibenden. Den 
Abschluss der 340 Text-Seiten bildet das 
Kapitel über Steuern. Dass in diesem 
Handbuch das Glossar gleich zu Beginn 
hinter dem Abkürzungsverzeichnis zu 
finden ist, irritiert deutlich weniger als 
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die Form der Literaturhinweise, die zu 
Beginn der Kapitel als Fließtext ohne 
Zeilenumbrüche teils über mehrere Sei- 
ten präsentiert werden und damit nahe- 
zu nicht brauchbar sind. 

Über diese Irritation kann nur das 
Stichwortverzeichnis im Anhang hin- 
wegtrösten, das auf 20 Seiten mit Para- 
grafen und Randnummern einen recht 
vollständigen Eindruck macht. Da hier 
der Aspekt des Datenschutzes und des- 
sen Behandlung im „Praxishandbuch“ 
im Vordergrund stehen soll, wurde der 
Zugang über dieses Stichwort im Stich- 
wortverzeichnis gewählt. 

Der erste Beitrag zum Datenschutz 
(eigenes Teilkapitel in „Rechtliche Po- 
sitionen der Akteure, & 10 eSportler”) 
lautet lapidar: „Datenschutzrechte der 
Spieler ... erlangen insbes. im Rahmen 
der medialen Auswertung einer eSport- 
Veranstaltung Relevanz” und dort wird 
auf 22 im hinteren Teil des Handbuchs 
verwiesen, in dem dann aber lediglich 
konstatiert wird: „Bei Nichteingreifen 
des Medienprivilegs setzt die Zulässig- 
keit einer datenschutzrechtlich rele- 
vanten Verarbeitung entweder einen 
Erlaubnistatbestand oder eine Einwil- 
ligung des Betroffenen voraus”. Offen 
bleibt dort, welche Erlaubnistatbestän- 
de es denn geben könnte. 

Der zweite Beitrag unter der Über- 
schrift „Arbeitnehmerdatenschutz im 


Cartoon 


eSport“ ($ 16 Vertragsparteien und 
ihre Pflichten) ist gehaltvoller. Die hier 
vorgetragene Position, eSport-Profis 
müssten in die Verarbeitung perso- 
nenbezogener Daten einwilligen, kann 
aber zur Verwirrung führen. So wird 
zwar am Rande darauf hingewiesen, 
dass die Einwilligung freiwillig erfol- 
gen muss, doch bleibt offen, was bei 
deren Rücknahme geschehen soll. Dem 
Vernehmen nach ist selbst unter lang- 
jährigen Datenschutzexperten strei- 
tig, ob eine Einwilligung auch dann 
eingeholt werden sollte, wenn - falls 
sie fehlt - auf andere Verarbeitungs- 
grundlagen zurückgegriffen werden 
soll, doch jedenfalls wäre eine einmal 
erteilte Einwilligung widerrufbar. Und 
in diesem Fall würde der Arbeitsvertrag 
als solches weiter Gültigkeit haben, 
ohne dass personenbezogene Daten 
wie beispielsweise in Ranglisten und 
Statistiken weiter verarbeitet werden 
dürften. 

Ähnlich vage bleibt im & 16 auch die 
Problematisierung der Einwilligung im 
Falle von minderjährigen eSport-Profis, 
weil die dort getroffenen Aussagen mit 
„unter Umständen“ und „gegebenen- 
falls“ relativiert werden. Beispiel: „Das 
Ausmaß der Datenerhebung und -ver- 
arbeitung ist bei der Einholung der Ein- 
willigung eines Minderjährigen stets zu 
beachten“. Dem abschließenden Hin- 


weis in diesem Kapitel, die Regelung 
über Verarbeitung personenbezogener 
Daten im Spielervertrag „so detailliert 
wie möglich“ vorzunehmen, ist unbe- 
dingt zuzustimmen. 

Insgesamt machen die allgemeinen 
Beiträge den Eindruck, gut und fun- 
diert recherchiert zu sein und einen 
aktuellen Überblick über das gesamte 
„Ökosystem“ des eSports zu geben. Vor 
allem das Kapitel 4 mit der Beleuchtung 
der rechtlichen Positionen der Akteure 
und Schwerpunkt auf dem Urheberrecht 
kann überzeugen und ist wirklich hand- 
buchmäßig brauchbar. 

Es fehlen aus Sicht des engagierten 
Hobbyspielers aber Hinweise auf die 
Datenschutz-Rahmenbedingungen 
bei kleineren, lokalen Veranstaltun- 
gen. Trotz der Hinweise im Kapitel 6 
„Rechtliche Fragestellungen bei der 
Organisation von Wettkämpfen” zu 
den AGBs beim Verkauf von Zuschauer- 
Eintrittskarten kommt dieses Thema 
deutlich zu kurz, da offen bleibt, wie 
die dort erwähnte Datenschutzklausel 
aussehen könnte. Bedauerlich ist wei- 
terhin, dass - wenngleich nicht alle 
Spiele auch eSport-fähig sind - auf die 
„Datenskandale” aus der Online-Spie- 
lewelt nicht eingegangen wird, obwohl 
doch gerade die Spieleherausgeber oft 
davon betroffen waren (Details siehe 
dazu DANA 4/2019, 200 ff.). 


ES DÜRFTE WOHL HINLÄNGLICH BEKANNT 
SEIN, DASS NSA, FBI, CIA UND BND AUCH 
AN DATEN VON VIDEOKONFERENZ- 
SYSTEMEN INTERESSIERT SIND. MEINE 
BIOMETRISCHEN GESICHTSBILDER WERDEN 
SIE AUF DIESEM WEG NICHT BEKOMMEN! 


WIESO BENUTZT DU 
EINE MASKE BEI DEM 
ZOOM-VIDEOCHAT? 


© 2021 Frans Valenta 


DANA ® Datenschutz Nachrichten 4/2020 


63 


Wenn Fingerabdrücke den Weg 
in die Personalausweise von 
“Nicht-Kriminellen gefünden: ‚häben, 
werden es wohl bald‘die DNA-Seguenzen 
mit Hilfe von überwathung äffinen.. 
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